浅析防御僵尸网络基于应用层的DDOS攻击.doc

浅析防御僵尸网络基于应用层的DDOS攻击
近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右。研究指出,黑客程序。任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防止恶意软件的上传,命令注入,目录遍历,或者任何其他诸如探测或者攻击等的入侵应用服务器的行为。
防御HTTP GET和POST洪水攻击
Web应用通常会有一些调用数据库,内存或者CPU运算等的比较消耗资源的页面或者接口。例如,文本搜索,僵尸网络会频繁地访问这些页面导致Web应用崩溃。
对于这种情况,梭子鱼第一层的保护是为特定的应用设定合适的人为访问阀值。例如,人们访问银行业务的应用大概会在1分钟内访问10个页面,那我们就把这个阀值设置好,而且,人为的访问会带有有效的客户端报头,如Cookies 和Referrers报头。一般通过脚本程序来访问的话都不会有这方面的信息。
防御HTTP“Slow Attacks”
一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求与应答当中,并且提供满足最低交互要求的数据以防止服务器访问超时关闭会话。这种攻击以消耗系统资源来使得应用处理效率降低,最后导致服务器没有能力再处理新来的请求流量。这种攻击称为“lowandslow”攻击,因为只需要小部分的客户端通过较低的网络带宽就可以暗地里地和慢慢地完成对服务器的DDOS攻击,这种攻击目前非常流行。
Slowloris攻击是典型的Slow攻击,它会在一定的时间间隔内向攻击目标服务器重复初始化和发送HTTP报头,但是却不会把报头发送完毕,这使得服务器线程和网络资源不能被释放出来,最终导致服务器资源耗尽到达拒绝服务攻击的效果。从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备是检测不出这种攻击的。
凭借着反向代理技术,协议和应用可视性的优势,梭子鱼Web应用防火墙可以识别和阻断不正常的流量,通过自适应安全算法监控不断增长和聚合的通讯流量,关闭恶意连接,从而防止这些恶意流量过度地消耗系统资源。
基于客户端完整性检查防御僵尸网络攻击
除了像Google和百度这些搜索引擎索引Web页面之外,面向互联网访问的绝大部分的Web应用流量都是来自于用户的浏览器,如InternetExplorer,Firefox,Chrome,或者Safari等。然而来自僵尸网络的流量通常由自动化的脚本程序产生,和浏览器正常产生的流量不一样。因此,采用一些探测性的算法可以把人为产生的流量和僵尸网络产生的流量区分开来。
梭子鱼Web应用防火墙提供两种方法来检测和过滤产生这些流量的源头。第一种方法是,通过在可疑的客户端访问中插入检测指令来检验Web浏览器和应用会话是否正常,这是一种被动的挑战应答方式,这种方式不会干预正常的人为访问流量,但是可以检测和阻断僵尸网络产生的流量。第二种方法是主动的挑战应答方式,通过验证码的方式验证客户端的访问是否正常,这种方法不需要修改后端Web服务器的任何配置。
由于验证码验证方式会干预用户的访问,所以企业和组织可以合理利用这两种被动和主动的检测算法,只对经过被动式检