http get flood攻擊的原理很簡單,攻擊者利用攻擊工具或者操縱殭屍主機,向目標伺服器發起大量的http get報文,請求伺服器上涉及資料庫操作的uri或其它消耗系統資源的uri,造成伺服器資源耗盡,無法響應正常請求。
302重定向
302重定向認證的原理是anti-ddos系統代替伺服器向客戶端響應302狀態碼(針對get請求方法的重定向),告知客戶端需要重定向到新的url,以此來驗證客戶端的真實性。真實客戶端的瀏覽器可以自動完成重定向過程,通過認證;而虛假源或者一般的攻擊工具沒有實現完整的http協議棧,不支援自動重定向,無法通過認證。
①當連續一段時間內去往目標web伺服器的http get請求報文超過告警閾值後,anti-ddos系統啟動源認證機制。源認證機制啟動後,anti-ddos系統將會代替伺服器與客戶端建立tcp三次握手。
②anti-ddos系統攔截http請求,代替web伺服器回應302狀態碼,將客戶端的訪問重定向到乙個新的uri。
③如果這個源是虛假源,或者不支援完整http協議棧的攻擊工具,不會向新的uri發起請求。
④如果這個源是真實客戶端,則會向新的uri發起請求。anti-ddos系統收到請求後,將該客戶端的源ip位址加入白名單。然後anti-ddos系統會再次回應302狀態碼,將客戶端的訪問重定向到一開始訪問的uri。
⑤後續這個客戶端發出的http請求報文命中白名單直接通過。
驗證碼認證
驗證碼認證的原理是anti-ddos系統要求客戶端輸入驗證碼,以此來判斷請求是否由真實的使用者發起,而不是由攻擊工具或殭屍主機發起。因為攻擊工具或殭屍主機無法自動響應隨機變化的驗證碼,所以能夠有效的防禦攻擊。
①當連續一段時間內去往目標web伺服器的http get請求報文超過告警閾值後,anti-ddos系統啟動源認證機制。源認證機制啟動後,anti-ddos系統將會代替伺服器與客戶端建立tcp三次握手。
②anti-ddos系統攔截http請求,向客戶端返回驗證碼頁面,要求客戶端輸入驗證碼。
③如果這個源是攻擊工具或殭屍主機,不會輸入驗證碼。
④如果這個源是真實客戶端,則會輸入驗證碼並通過認證,anti-ddos系統將該客戶端的源ip位址加入白名單。然後anti-ddos系統會請客戶端繼續訪問一開始的uri。
⑤後續這個客戶端發出的http請求報文命中白名單直接通過。
驗證碼認證方式與302認證方式相比,防禦效果更好,但是由於需要人機互動輸入驗證碼,使用者體驗稍差一些。在實際使用驗證碼認證方式時,可以增加源ip統計的環節,即anti-ddos系統先基於目的ip進行統計,當去往某個目的ip的http請求超過閾值時,啟動基於源ip的統計。當來自某個源的http請求也超過閾值時,才啟動驗證碼認證機制。這樣就會精確控制需要進行驗證碼認證的源ip範圍,避免大範圍的源ip都要輸入驗證碼。
攻擊者利用攻擊工具或者操縱殭屍主機,向目標伺服器發起大量的http post報文,消耗伺服器資源,使伺服器無法響應正常請求,這就是http post flood攻擊。
重定向認證
anti-ddos系統代替伺服器向客戶端響應307狀態碼(針對post請求方法的重定向),同時向客戶端的瀏覽器注入cookie,客戶端再次發起請求時會在http報頭上附加cookie資訊,anti-ddos設系統通過驗證cookie資訊的真實性來驗證客戶端。
①當連續一段時間內去往目標web伺服器的http post請求報文超過告警閾值後,anti-ddos系統啟動源認證機制。源認證機制啟動後,anti-ddos系統將會代替伺服器與客戶端建立tcp三次握手。
②anti-ddos系統攔截http請求,代替web伺服器回應307狀態碼,並在響應頭部附加上由客戶端ip生成的cookie。
③如果這個源是虛假源,或者不支援完整http協議棧的攻擊工具,不會重新發起請求。
④如果這個源是真實客戶端,anti-ddos系統生成的cookie會寫入到瀏覽器中,並且客戶端會重新發起請求,請求頭部就會帶有該cookie資訊。anti-ddos系統收到請求後,驗證cookie是否正確,如果正確則將該客戶端的源ip位址加入白名單。然後anti-ddos系統會回應408狀態碼,表示請求超時,使客戶端重新發起訪問。
⑤後續這個客戶端發出的http請求報文命中白名單直接通過。
上面介紹的307重定向認證方式能夠很好地防禦http post flood攻擊,但是這種方式也具有一定的侷限性。其一,依賴於客戶端瀏覽器的cookie的機制,受安全級別限制。如果客戶端的瀏覽器安全級別較高而無法寫入cookie,會導致認證不通過;其二,第一階段重定向結束後,需要客戶端再次手動執行提交等操作,才能重新發起post請求。
同http get flood的防禦方式相似,http post flood的源認證防禦也支援增強方式,即驗證碼認證。
驗證碼認證
此處的驗證碼認證與http get flood中的驗證碼機制相同,anti-ddos系統要求客戶端輸入驗證碼,以此來判斷請求是否由真實的使用者發起。其弊端也是需要人機互動輸入驗證碼,使用者體驗稍差一些。具體的工作原理請參考http get flood攻擊與防禦部分中的介紹,此處不再贅述。
DDoS攻擊基礎篇
轉 1.ddos攻擊基礎 ddos distributed denial of service,分布式拒絕服務 攻擊的主要目的是讓指定目標無法提供正常服務,甚至從網際網路上消失,是目前最強大 最難防禦的攻擊之一。按照發起的方式,ddos可以簡單分為三類。第一類以力取勝,海量資料報從網際網路的各個角落...
深入了解DDoS攻擊型別,有效防護DDOS攻擊。
目前,ddos攻擊已經不在網路安全界的新客,但作為老客的它已經變的越來越複雜。黑客不斷提出新的攻擊方案以便於繞過安全部門所制定的防禦計畫,進而對企業造成利益的損害。但安全提供商在防禦技術上的研究也並沒有就此停止腳步,反而更加積極的推出新的解決方案來組織黑客攻擊。1 應用層ddos攻擊 應該層的ddo...
SCDN的抗CC攻擊和抗DDoS攻擊防護是什麼?
摘要 阿里雲scdn提供的一整套加速和安全的解決方案。目前scdn抗cc防護保底6萬qps,最高到100萬qps。另可定製最高達250萬qps防護。而抗ddos保底防護20gbps,最高到300gbps。另可定製最高達600gbps防護。cc攻擊是 ddos 分布式拒絕服務 的一種,ddos是針對i...