网络海量攻击已经转移到第7层

攻击者已经注意到,互联网世界在抵御大规模分布式拒绝服务攻击领域正越来越得心应手,并试图将这股风头吹向应用程序领域。

DDoS偏转器Cloudflare表示,它认为网络攻击试图耗尽高级别服务器资源如每进程CPU时间,磁盘空间和内存分配,而不是网络中较低阶的部分叠加。

因此,云供应商的安全产品经理Alex Cruz Farmer 周一认为,OSI第7层攻击通常每天发生在160次左右,现在每天发生率高达1000次。

与每秒数百千兆字节的垃圾网络流量相比,这看起来微不足道,但如果您是接收端的系统管理员,则情况并非如此:构建良好的应用程序级别的攻击可能会导致服务器进程超负荷工作,每秒的复杂请求可能会在没有大量数据包的情况下削弱其目标反应的能力。

云公司已经提供了一个限速产品,以处理僵尸攻击和应用程序DDoS,但Farmer写道,经过一年的检验,其他功能同样是需要加强的。

用户可以选择将Cloudflare(JavaScript)或Google(reCaptcha)挑战作为抵消网络攻击UI和API接口的代替措施,而不是简单地阻止流量来源(限速和限制产品中的阻止和模拟操作)。

作为使用的一个例子,他写道,虽然设置一个规则很简单,例如“在五分钟内五次登录尝试后阻止”,但这可能同样会错误的影响合法用户的登录行为。

Cruz Farmer写道:“在一分钟内记录四次是很困难的 - 我输入的速度很快,但甚至无法做到这一点”,这使得识别潜在的机器人登录并应用速率限制和提出人类将要通过的挑战变得容易,但是一个机器人不会。

可以设置更复杂的一系列速率限制规则,从将Cloudflare JavaScript挑战一直提升到帐户上的24小时区块,这些规则可以升级。

在部署之前,可以免费使用Cloudflare的Simulate工具对这些挑战进行测试。

另一个变化是速率限制中额外的可扩展性。对于商业和企业客户来说,系统现在可以通过匹配来源响应标头来统计流量,“通过匹配Origin到Cloudflare返回的属性”。

此功能旨在减轻系统管理员维护不断扩大的烦人IP地址列表的负担。

“速率限制原始头文件”功能让管理员可以根据标题触发速率限制,正如Cruz Farmer所解释的:

为了做到这一点,我们需要在Origin处生成Header,然后将其添加到对Cloudflare的响应中。由于我们在静态标头上匹配,因此我们可以根据标题的内容设置严重性级别。例如,如果它是重犯者,则可以使用高级别作为标题值进行响应,这可能会阻塞较长时间。

第三,有一种防御措施,旨在保护数据库免受枚举攻击 - 以逐步记录的方式逐步扫描数据库记录的攻击,速度限制让攻击难以保持:“攻击者将随机发送一组字符快速连续地连接到该端点,导致数据库停止运行。“

他写道,一名客户遭受了一次枚举攻击,该攻击在六个小时内发出了超过1亿次请求。

由于本示例中的攻击者正在发送随机字符串,因此任何“未命中”都将生成HTTP 404错误代码,因此可以将速率限制应用于此; 或者速率限制可以在HTTP 404和HTTP 200的组合上(一个成功的代码,因为随机请求在数据库中遇到了问题)。

Cruz Farmer写道,类似的规则可以适用于试图下载图像数据库的刮板(包括HTTP 403,“Forbidden”),所以试图刮取图像(无论是超载服务器还是重新分配)的机器人都会受到挑战或一个块。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/05/22/layer_7_ddos_attacks_increasing
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券