DDoS攻击走向应用层
发起网络层流量洪水?不不不,现在的DDoS攻击者更钟爱应用进程。攻击者注意到人们已经越来越善于防御大规模分布式拒绝服务(DDoS)攻击了,于是他们换了个淹没的目标——应用进程。
DDoS导流专家CloudFlare观测到,消耗进程CPU时间、磁盘空间、内存分配等高层服务器资源的网络攻击急速增加,而靠淹没网络架构中低层级带宽资源的传统DDoS攻击似乎无甚变化。
5月21日,该云服务提供商的安全产品经理 Alex Cruz Farmer 表示,通常速率在每天160左右的OSI第七层(应用层)攻击如今能以每天1000的高速爆发。
与动辄每秒数百GB的垃圾流量洪水相比,这点速度看起来似乎很不值一提,但那是在你不作为接收端系统管理员的情况下:构建合理的应用层攻击能以每秒相对少量的复杂请求令服务器进程过载,无需大量数据包即可搞瘫目标。
CloudFlare已推出速率限制产品,可搞定僵尸攻击和应用层DDoS,但Farmer称该产品经过1年的应用体验后发现还需增加其他功能。
该产品不是简单地封锁流量源,而是让用户可以选择通过CloudFlare的JavaScript或谷歌的reCptcha提出挑战,作为UI和API缓解措施。
设置一条5分钟内5次登录尝试失败就禁用的规则很简单,但这会伤到合法用户。
1分钟内登录4次就很难,手速再快都难以企及,可以用来识别潜在的僵尸主机,应用速度限制并提起人类能通过而僵尸主机通不过的挑战。
其他更为复杂的速度限制规则也可以设置,从提起 Cloudflare JavaScript 挑战到锁定账户24小时都可以。
在正式部署前,这些挑战可以在 Cloudflare 的模拟工具中免费测试。
另一个改变是速度限制工具增加扩展性。对企业客户而言,该系统现在从源响应头通过匹配从源返回到CloudFlare的属性来计算流量。
该功能是为减轻系统管理员维护不断膨胀的问题IP地址列表而设计的,能使管理员基于此源响应头触发速度限制:
我们在源处产生一个包头,添加到返回CloudFlare的响应中。因为匹配的是静态的头,我们可以基于该头的内容设置严重性级别。比如说,如果是重复性攻击,便可往该头中填入表示严重性级别为“高”的值,触发更长时间的封禁。
除此之外,还有一个用于防护数据库免受枚举攻击的防御措施,避免攻击者通过快速逐条查询记录而让数据库进程锁死:攻击者向终端连续快速发送随机字符串,导致数据库卡死停顿。
比如说,CloudFlare某客户就曾遭受过6小时内收到1亿条数据库查询请求的枚举攻击。
由于攻击者发送的是随机字符串,任何“查无此记录”的查询请求都会产生一个 HTTP 404 错误代码,速度限制就能应用在此处;或者,速度限制也可应用于 HTTP 404 和 HTTP 200 (查询成功代码)的组合。
类似的规则可以应用到试图下载图像数据库(包含 HTTP 403 “禁止访问”)的爬取器上,阻断试图通过爬取图像让服务器过载或窃为己用的僵尸主机。
CloudFlare的专业版中,允许设置的规则数量从3条增加到了10条;商业版则更多,可设置15条。
原文发布时间为:2018-05-25
本文作者:nana
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
被劫持的wordpress.com账户被用来感染站点
总结 1. 攻击者用被黑的凭证登录WordPress.com账户。 2. 如果WordPress.com上的账户被设定为通过Jetpack插件管理所有的WordPress安装,攻击者就可以利用这样的访问在目标站点上安装恶意“pluginsamonsters”插件。 3. 该插件可以给攻击者对目标站点的完全控制。该插件在WordPress.com的面板上是可见的,但当激活后就不可见了。 要想该攻击产生,必须满足下面的条件: · 网站所有者必须安装Jetpack。 · Jetpack必须配置为允许用WordPress.com账户来管理站点。 · WordPress.com账户的凭证必须被黑。这种情况通常发生在在其他被黑的站点或服务上重用邮箱或密码。 · WordPress.com没有开启双因子认证。 攻击入口:WordPress.com弱凭证和Jetpack Jetpack是非常流行的WordPress插件,有很多的特征。为了使用Jetpack,必须在WordPress.com上创建一个账号。这样就可以在WordPress.com的中央控制器来管理多个WordPress站点。其中一个特点就...
- 下一篇
推荐Python数据框Pandas视频教程
若要独立用 Python 处理数据科学问题,Pandas 是绕不过去的。 新番 今天,花了一上午的时间,跟着这个 Youtube 系列教程,学习了 Pandas 中级技巧。 视频来自于 Data School。发布者是 Kevin Markham 。 在这个系列视频教程里, Kevin 将自己的 PYCON 2018 workshop 分成了10个部分全部精剪后释出。一步步带你领略 Pandas 的魅力。 我用了2个多小时,完成了他10个视频的全部内容。 收获颇丰。 利用教程中提到的美国交通警务数据来自于斯坦福开放警务项目(THE STANFORD OPEN POLICING PROJECT)。 这是数据大概的样子: 一步步按照 Kevin 的指令练习,你可以完成这些内容: 分析男女司机的交通违规都包括哪些类别?每一类占比如何? 那些被搜查车辆的男女司机,各是由于什么原因? 哪个时段,警察发现违规的数量最多? 不同违规行为里,司机年龄是如何分布的? 这些分析结果,只是这个教程的一小部分而已。 更妙的是,上述这些图形,几乎都是利用两三条 Pandas 语句,就可以做出。有的只需要一条就可...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8编译安装MySQL8.0.19