網(wǎng)上說到服務(wù)器清洗,服務(wù)器秒清洗這類的詞語��。但是不知道具體是什么意思�����。今天就由防御吧小編給大家講解下服務(wù)器被攻擊秒清洗是什么意思��。
“清洗”是指流量清洗��,流量清洗服務(wù)是對客戶的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)的監(jiān)控�����,并在監(jiān)控中及時(shí)發(fā)現(xiàn)異常流量���,比如DDOS攻擊����、CC攻擊等��。在不影響正常業(yè)務(wù)的前提下�,清洗掉異常流量,保證客戶業(yè)務(wù)的正常運(yùn)行�。也就是說,我們是根據(jù)攻擊的分析����,把流量中的異常剔除出去,這樣就保證了服務(wù)器的正常訪問�,所謂清洗就是把那些符合攻擊的流量清洗掉,只留下正常的用戶訪問流量��。秒清洗又有什么說法呢��?攻擊流量過大的情況下��,異常流量就會(huì)積累很大,如果不能秒清洗掉��,那么整個(gè)服務(wù)器都會(huì)受到影響���。這時(shí)候秒清洗就有很大的作用了���。
簡單點(diǎn)來說,清洗是指將流量從原始網(wǎng)絡(luò)路徑中重定向到清洗設(shè)備上����,通過清洗設(shè)備對該IP的流量成分進(jìn)行正常和異常判斷,丟棄異常流量��,并對最終到達(dá)服務(wù)器的流量實(shí)施限流����,減輕攻擊對服務(wù)器造成的損害,但對流量中正常的部分可能造成損傷����。
抗DDoS攻擊流量清洗系統(tǒng)由攻擊檢測、攻擊緩解和監(jiān)控管理三大部分構(gòu)成�。檢測系統(tǒng)首先通過檢測網(wǎng)絡(luò)流量中隱藏的非法攻擊流量,發(fā)現(xiàn)攻擊后及時(shí)通知并激活防護(hù)設(shè)備進(jìn)行流量的清洗���;緩解系統(tǒng)通過專業(yè)的流量清洗功能�,將可疑流量從原始網(wǎng)絡(luò)路徑中重定向到凈化產(chǎn)品上進(jìn)行惡意流量的識別和剝離�,還原出的合法流量回注到原網(wǎng)絡(luò)中轉(zhuǎn)發(fā)給目標(biāo)系統(tǒng),其它合法流量的轉(zhuǎn)發(fā)路徑不受影響�����;監(jiān)控管理系統(tǒng)實(shí)時(shí)展現(xiàn)DDOS攻擊數(shù)據(jù)流量�����,流量清洗報(bào)表����,實(shí)時(shí)連接數(shù)、請求數(shù)���、帶寬報(bào)表等數(shù)據(jù)�。
常見的清洗方法
1.IP信譽(yù)檢查
IP信譽(yù)機(jī)制是指為互聯(lián)網(wǎng)上的IP地址賦予一定的信譽(yù)值����,那些過去或現(xiàn)在經(jīng)常被作為僵尸主機(jī)發(fā)送垃圾郵件或發(fā)動(dòng)拒絕服務(wù)攻擊的IP地址會(huì)被賦予較低的信譽(yù)值,說明這些IP地址更有可能成為網(wǎng)絡(luò)攻擊的來源�。
IP信譽(yù)檢查的極端情況就是IP黑名單機(jī)制����,即如果數(shù)據(jù)包的來源存在于黑名單當(dāng)發(fā)生分布式拒絕服務(wù)攻擊時(shí)��,流量清洗設(shè)備會(huì)對通過的網(wǎng)絡(luò)流量進(jìn)行IP信譽(yù)檢查��,在其內(nèi)部的IP地址信譽(yù)庫中查找每一個(gè)數(shù)據(jù)包來源的信譽(yù)值�,并會(huì)優(yōu)先丟棄信譽(yù)值低的IP地址所發(fā)來的數(shù)據(jù)包或建立的會(huì)話連接,以此保證信譽(yù)高的IP地址與服務(wù)器的正常通信�����。
2.攻擊特征匹配
在大多數(shù)情況下����,發(fā)動(dòng)分布式拒絕服務(wù)攻擊需要借助攻擊工具。為了提高發(fā)送請求的效率�,攻擊工具發(fā)出的數(shù)據(jù)包通常是由編寫者偽造并固化到工具當(dāng)中的,而不是在交互過程中產(chǎn)生的�,因此一種攻擊工具所發(fā)出的數(shù)據(jù)包載荷會(huì)具有一些特征。流量清洗設(shè)備可以將這些數(shù)據(jù)包載荷中的特征作為指紋�,來識別工具發(fā)出的攻擊流量。指紋識別可以分為靜態(tài)指紋識別和動(dòng)態(tài)指紋識別兩種���。靜態(tài)指紋識別是指預(yù)先將多種攻擊工具的指紋特征保存在流量清洗設(shè)備內(nèi)部�,設(shè)備將經(jīng)過的網(wǎng)絡(luò)數(shù)據(jù)包與內(nèi)部的特征庫進(jìn)行比對,直接丟棄符合特征的數(shù)據(jù)包����;動(dòng)態(tài)指紋識別則需要清洗設(shè)備對流過的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行學(xué)習(xí),在學(xué)習(xí)到若干個(gè)數(shù)據(jù)包的載荷部分之后�����,將其指紋特征記錄下來�����,后續(xù)命中這些指紋特征的數(shù)據(jù)包會(huì)被丟棄����,而長期不被命中的指紋特征會(huì)逐漸老化直至消失����。
3.速度檢查與限制
一些攻擊方法在數(shù)據(jù)包載荷上可能并不存在明顯的特征,沒有辦法進(jìn)行攻擊特征匹配�,但卻在請求數(shù)據(jù)包發(fā)送的頻率和速度上有著明顯的異常。這些攻擊方法可以通過速度檢查與限制來進(jìn)行清洗�。
例如,在受到THC SSL DoS攻擊時(shí)��,會(huì)在同一個(gè)SSL會(huì)話中多次進(jìn)行加密密鑰的重協(xié)商,而正常情況下是不會(huì)反復(fù)重協(xié)商加密密鑰的�。因此,當(dāng)流量清洗設(shè)備進(jìn)行統(tǒng)計(jì)時(shí)�,如果發(fā)現(xiàn)SSL會(huì)話中密鑰重協(xié)商的次數(shù)超過了特定的閾值,就可以直接中斷這個(gè)會(huì)話并把來源加入黑名單中���。再如�����,在受到Slowloris和慢速POST請求攻擊時(shí)����,客戶端和服務(wù)器之間會(huì)以非常低的速率進(jìn)行交互和數(shù)據(jù)傳輸����。流量清洗設(shè)備在發(fā)現(xiàn)HTTP的請求長時(shí)間沒有完成傳輸時(shí),就可以將會(huì)話中斷�����。此外��,對于UDP洪水攻擊等一些沒有明顯特征���、僅通過大流量進(jìn)行攻擊的方法���,可以通過限制流速的方式對其進(jìn)行緩解��。
4.TCP代理和驗(yàn)證
SYN洪水攻擊等攻擊方式都是利用TCP協(xié)議的弱點(diǎn)�����,將被攻擊目標(biāo)的連接表占滿,使其無法創(chuàng)建新的連接而達(dá)到拒絕服務(wù)攻擊的目的�。流量清洗設(shè)備可以通過TCP代理和驗(yàn)證的方法來緩解這種攻擊造成的危害。在一個(gè)TCP SYN請求到達(dá)流量清洗設(shè)備后���,設(shè)備并不將它交給后面的服務(wù)器�,而是直接回復(fù)一個(gè)SYN+ACK響應(yīng)�����,并等待客戶端回復(fù)���。如果SYN請求來自合法的用戶���,那么他會(huì)對SYN+ACK進(jìn)行響應(yīng)����,這時(shí)流量清洗設(shè)備會(huì)代替用戶與其保護(hù)之后���,合法的用戶和服務(wù)器之間就可以透過流量清洗設(shè)備�����,進(jìn)行正常數(shù)據(jù)通信����。對于用戶來說整個(gè)過程是完全透明的����,正常的交互沒有受到任何影響。的服務(wù)器建立起TCP連接�����,并將這個(gè)連接加入信任列表當(dāng)中�。
而如果這個(gè)SYN請求來自攻擊者,那么他通常不會(huì)對SYN+ACK進(jìn)行應(yīng)答���,從而形成半開連接����。這樣流量清洗設(shè)備會(huì)暫時(shí)保留這個(gè)半開連接,并在經(jīng)過短暫的超時(shí)時(shí)間之后丟棄這個(gè)連接
相比于所保護(hù)的服務(wù)器�,流量清洗設(shè)備對連接表操作進(jìn)行了專門優(yōu)化,能夠處理極其龐大的連接請求數(shù)量���,因此即使有非常多的SYN請求同時(shí)涌向清洗設(shè)備�,清洗設(shè)備也能夠處理��。在這個(gè)過程中����,由于清洗設(shè)備攔截在被保護(hù)的服務(wù)器之前���,服務(wù)器并沒有消耗任何的連接資源����,因此保證了服務(wù)器的性能不受影響���。
流量清洗設(shè)備在作為TCP代理進(jìn)行防護(hù)時(shí)�����,除了攔截半開連接外�,還可以進(jìn)行TCP協(xié)議的一些交互式驗(yàn)證。例如�,在收到第一個(gè)SYN請求時(shí),通過直接丟棄���、發(fā)送RST包或發(fā)送錯(cuò)誤序列號的ACK包的方式來中斷連接過程���,并檢查客戶端是否重新發(fā)起連接請求。通過這種驗(yàn)證���,也可以識別并丟棄許多不合法的連接��。
5.協(xié)議完整性驗(yàn)證
為了提高發(fā)送攻擊請求的效率��,大多數(shù)的攻擊方法都會(huì)只發(fā)送攻擊請求�,而不接收服務(wù)器響應(yīng)的數(shù)據(jù)�����,或者無法完全理解和處理響應(yīng)數(shù)據(jù)��。因此,如果能夠?qū)φ埱髞碓催M(jìn)行交互式驗(yàn)證�����,就可以檢查請求來源協(xié)議實(shí)現(xiàn)的完整性�����。對于協(xié)議實(shí)現(xiàn)不完整的請求來源�����,通�?梢詫⑵渥鳛楣糁鳈C(jī)丟棄其發(fā)送的數(shù)據(jù)。在DNS解析的過程中���,如果域名解析請求獲得的響應(yīng)數(shù)據(jù)中Flags字段的Truncated位被置位�,通�����?蛻舳司蜁(huì)使用TCP 53端口重新發(fā)送域名解析請求��。
而攻擊者使用的攻擊工具由于不接收或不處理解析請求的響應(yīng)數(shù)據(jù)�����,也就不會(huì)使用TCP 53端口進(jìn)行重新連接���。流量清洗設(shè)備可以利用這個(gè)區(qū)別來有效地區(qū)分合法用戶與攻擊者���,攔截惡意的DNS攻擊請求
對于提供HTTP服務(wù)的Web服務(wù)器,也可以使用類似的方式進(jìn)行協(xié)議完整性驗(yàn)證�。例如,可以使用HTTP協(xié)議中的302重定向來驗(yàn)證請求的來源是否接收了響應(yīng)數(shù)據(jù)并完整實(shí)現(xiàn)了HTTP協(xié)議的功能�。HTTP的302狀態(tài)碼表示被請求的資源被臨時(shí)轉(zhuǎn)移,并會(huì)給出一個(gè)轉(zhuǎn)移后的地址�。正常的合法用戶在接收到302重定向后會(huì)順著跳轉(zhuǎn)地址尋找對應(yīng)的資源
而攻擊者的攻擊工具由于不接收或不處理響應(yīng)數(shù)據(jù),則不會(huì)進(jìn)行跳轉(zhuǎn)�����,因此攻擊請求會(huì)被清洗設(shè)備攔截�����,Web服務(wù)器不會(huì)受到任何影響
6.客戶端真實(shí)性驗(yàn)證
進(jìn)行協(xié)議完整性驗(yàn)證能夠清洗掉一部分簡單的攻擊工具所發(fā)送的攻擊流量���,但是�����,一些攻擊工具在開發(fā)過程中使用了現(xiàn)成的協(xié)議庫��,這樣就能夠完整實(shí)現(xiàn)協(xié)議交互�,通過協(xié)議完整性檢驗(yàn)。對于這些攻擊工具��,需要使用客戶端真實(shí)性驗(yàn)證技術(shù)進(jìn)行攻擊流量清洗�����?蛻舳苏鎸(shí)性驗(yàn)證是指對客戶端程序進(jìn)行挑戰(zhàn)–應(yīng)答式的交互驗(yàn)證���,檢查客戶端能否完成特定的功能,以此來確定請求數(shù)據(jù)是否來自真實(shí)的客戶端�����。對基于頁面的Web服務(wù)�,可以通過檢查客戶端是否支持java script來驗(yàn)證請求是否來自真實(shí)的瀏覽器客戶端。當(dāng)收到HTTP請求時(shí)��,流量清洗設(shè)備會(huì)使用java script等腳本語言發(fā)送一條簡單的運(yùn)算操作����。如果請求是由真實(shí)的瀏覽器發(fā)出的,那么瀏覽器會(huì)進(jìn)行正確運(yùn)算并返回結(jié)果�����,流量清洗設(shè)備進(jìn)行結(jié)果驗(yàn)證后就會(huì)讓瀏覽器進(jìn)行正確運(yùn)算并返回結(jié)果�����,流量清洗設(shè)備進(jìn)行結(jié)果驗(yàn)證后就會(huì)讓瀏覽器跳轉(zhuǎn)到Web服務(wù)器上真正的資源位置����,不會(huì)影響正常用戶的訪問,而如果請求是由攻擊者通過攻擊工具發(fā)送的���,由于大部分工具沒有實(shí)現(xiàn)java script的解析和執(zhí)行功能��,因而不能返回正確的運(yùn)算結(jié)果���,流量清洗設(shè)備會(huì)直接丟棄這些請求,而不會(huì)給出跳轉(zhuǎn)到Web服務(wù)器的連接����,因此Web服務(wù)器不會(huì)受到影響����。
現(xiàn)在發(fā)起DDOS攻擊越來越簡單化�,攻擊工具越來越智能化,在面對越來越復(fù)雜的網(wǎng)絡(luò)安全環(huán)境����,企業(yè)單純的通過服務(wù)器架構(gòu)優(yōu)化等常規(guī)手段已經(jīng)無法保障企業(yè)的網(wǎng)絡(luò)安全。企業(yè)一定要提前做好安全防護(hù)措施���,接入專業(yè)的抗流量攻擊的服務(wù)或服務(wù)器��。
服務(wù)器在遭受大流量的DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下�,我們推出的付費(fèi)增值服務(wù)����。您可通過配置高防CDN,將攻擊流量清洗����,確保服務(wù)器的穩(wěn)定可靠。
另外更多高防服務(wù)器的信息 歡迎咨詢防御吧官網(wǎng)��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
