作者:juniu网络 来源:互联网 发布时间:2023-07-08
http 流量主导着互联网.IDC机房也经历了大量的 http 流量,许多公司看到越来越多的收进来自在线销售.然而,跟着流行度的增长,风险随之增长,而且就像任何协议一样,http 很非常容易受到流量攻击.巨牛科技将为您描述针对 http 服务器发起的常见 ddos 流量攻击.
首先,http 根据 tcp 执行.因此,网站 服务器可能面临许多与 tcp 相关的流量攻击.在计划 http 服务保护时,请务必记住,流量攻击面比 http 协议更普遍.今天任何 ddos 流量攻击都使用许多向量来创建拒尽服务,为了防止它,人们应该能够保护所有这些向量.
一、常见的 tcp 网络流量攻击
• syn 泛滥- 可能是其中最古老的,但在大多数流量攻击中仍然用作矢量.流量攻击者正在发送许多发送到服务器的 syn 信息包.由于流量攻击不需要查看返回流量,因此 ip 不必是真实的,通常是欺骗性 ip.这使得更难理解流量攻击的来源,并帮助流量攻击者保持匿名.这些年来,syn 流量攻击技术仍在发展之中.
syn 流量攻击背后的主要思想是发送大量 syn 信息包以耗尽为 tcp \ ip 堆栈中分配的内存.多年来,syn 流量攻击变得越来越复杂.的变种是 tsunami syn flood attack,它使用带有 tcp syn 位的大信息包来饱和互联网管道,同时对 tcp \ ip 堆栈造成并行损坏.
•除了 syn 泛洪之外,tcp 网络流量攻击正在利用所有其他 tcp,ack 泛洪、rst 泛洪、推送 - 发送泛洪、fin 泛洪及其任何组合都在各种流量攻击中使用.流量攻击者将尝试一切,只要它有可能造成破坏.
http l7 流量攻击面很广.http l7 流量攻击与上述网络流量攻击之间的主要差别在于,http 事务需要很好地的 ip - 不能欺骗 http 请求的 ip,因为 tcp 握手需要 ip 接受并反应包.如果您不有着 ip,则永远无法建立连接.这种不同曾经给想要使用 http 流量攻击的流量攻击者带来了很大困难,然而在当今世界,最近的物联网僵尸网络统治着它的流量攻击面,有着大量的真实 ip 地址不再被视为不太可能的挑战.从真实 ip 地址建立连接后,可以使用多种选项开展流量攻击:
•垃圾洪水 - 最不复杂的流量攻击媒介是打开与 http 端口(通常是端口 80 或 443)的连接,以向其发送垃圾2进制信息.这种流量攻击通常在缓解中被忽略,因为服务器以及保护它的安全性设备期看 “很好地” 的 http 流量.此流量攻击的目的通常是在 网站 服务器中,甚至在其前面的缓解设备中泛洪内部缓冲区和队列.这种流量攻击有时也会用来使互联网管道饱和,尽管有更非常容易的流量攻击技术.
•get 泛洪- http 协议的最常见用法是 get 请求.get 泛洪使用相同的 get 请求方法,但数量很大.流量攻击者试图使服务器过载并停止提供合法的 get 请求.此流量攻击通常遵循 http 协议标准,以避免使用 rfc fcompliancy 检查开展缓解.
•其他 http 方法- 除了常见的 get 方法之外,http 协议也允许其他方法,例如 head,post 等.使用这些方法的流量攻击通常与 get 泛洪并行使用,以便尝试流量攻击服务器代码中较不常见的区域.post 请求通常比 get 请求大,因此大型 post 请求比大型 get 请求更不可疑,而且更有可能根据保护它的缓解设备不会注意到服务器.这允许服务器上更多的内存消耗,而且更多的机会拒尽服务.
•反向带宽泛滥- 这些流量攻击试图让服务器发送流量,使服务器的上行链路饱和到局域网或互联网.即使服务器只有一个大页面,流量攻击者也可以为此特定页面发送许多请求.这将使服务器一次又一次地发送它并使服务器自己的上行链路连接饱和.此技术用于避免从缓解设备开展检测,缓解设备通常测量进站流量以开展饱和,而不是始终测量出站流量.
•http 模糊和非行为字段- 这些流量攻击在特定 http 协议字段上发送垃圾或错误值.流量攻击将发送 g3t 请求(而不是 get 请求),在 http 版本 1,1(而不是 http 1.1)上发送流量,依此类推.另一种挑选是在通信中的字段位置使用随机值.流量攻击者试图使 网站 服务器崩溃,如果服务器没有检查这些输进值的很好地性,就会发生这种情况.请注意,与先前的流量攻击不同,此流量攻击不必消耗高流量或高 pps - 它试图在缓解设备 “雷达” 下造成损害.
•低速和慢速流量攻击- 这些流量攻击比使用模糊器消耗更低的 bw 和 pps.流量攻击使用非常少的流量,因此很难检测到.此流量攻击发送的是合法的 http 流量,但快速非常慢.流量攻击将使用许多小信息包发送 get 请求,它们之间有很大的时间间隔.虽然这是依据 http 和 tcp 协议的合法行为,但这种行为消耗了服务器的大量资源 - 它需要保持连接打开,等待完整的请求到达.由于连接池有限,因此很非常容易超过游泳池饱和度,而且流量非常小.
•缓存绕过流量攻击 - 现在许多 网站 服务器都落后于 cdn,允许更快地将内容传递给全球的全球客户.cdn 给服务器所有者带来了错误的安全性感,因为他们希看 cdn 在到达服务器之前阻止任何洪水.但是,根据发送对不可缓存内容的请求,可以轻轻松松绕过 cdn 安全性措施.对动态内容以及不存在的内容的请求将使 cdn 到达服务器.可以使用本文中描述的所有流量攻击来流量攻击服务器,而且 cdn 实际上将用作流量攻击本身的一部分.
•owasp 排名前 10 位的流量攻击- 除了上述流量攻击之外,还有拒尽服务流量攻击,还有更多的 http 流量攻击深进到 http 协议中,并尝试从服务器获取其他资产.诸如跨端脚本、sql 注进等流量攻击试图使服务器提供它不应该服务的内容.这种性质的前 10 名流量攻击被称为 owasp 前 10 名.这些通常不是拒尽服务流量攻击,网站 运用程序防火墙(waf)为它们提供了缓解.waf 可以作为本地设备或云中的服务很好地.
2、其他流量攻击
值得注意的是,保护 网站 服务本身并不足以确保服务.其他流量攻击仍然可能导致服务中断.一个例子是通道饱和流量攻击,即使 udp 垃圾流量与 http 无关.另一次流量攻击是最近发现的 smb 流量攻击.所有这些流量攻击都针对 网站 服务器周围的服务 - 互联网通道,同一设备提供的其他非 http 服务等,以便创建拒尽服务.
另一种种类的流量攻击是流量攻击用于将域转换为 ip 地址的 dns 服务器.这种方法在 2016 年 10 月使用 mirai 僵尸网络在着名的 dyn 流量攻击中使用.值得注意的是,流量攻击者能够对 twitter 和亚马逊等大型网站开展拒尽服务,而不会向网站的方向发送任何信息包.相反,流量攻击者流量攻击了允许客户访问这些网站的互联网基础设施 - 他们流量攻击了作为这些服务的 dns 提供商的 dyn,并导致网站进进拒尽服务状态.
有许多 http 流量攻击可能导致拒尽服务.缓解这些流量攻击的方法是挑选可以处理所有这些流量攻击的保护服务,例如香港高防服务器、高防ip 等.建立真正的 http 流量攻击防御的仅有方法是使用专精的高防服务,这些服务跟着时间的推移而发展.例如巨牛科技香港高防服务器,可以全面防护超过 25 种 ddos 变种流量攻击及其任意组合,防护峰值高达 310gbps.有着香港高防服务器只是成功的一半.与以安全性为中心的公司合作非常重要,巨牛科技可以提供受到流量攻击的专家建议,并发展和开发其工具来应对不断演变的流量攻击.对于 网站 服务以及整个互联网,每一秒都很重要.保持站点始终执行并非易事,但可以使用正确的产品来完成.
