HTTP攻击,该怎么防护

最新推荐文章于 2024-10-02 02:07:13 发布
最新推荐文章于 2024-10-02 02:07:13 发布
阅读量1.5k 收藏 21
点赞数 23
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dexunyun/article/details/136238456
版权

一般网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,最终导致目标网络与业务的瘫痪;这类DDOS攻击,工作在OSI模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的。

图片


不过除了这类在网络传输层大做文章的DDoS攻击外,还有一类应用层DDoS攻击。应用层DDoS攻击,通过向应用程序发送大量恶意请求实现攻击效果,以每秒请求数 (QPS) 来衡量攻击量级与规模;这类攻击也称为 7 层 DDoS 攻击,可针对和破坏特定的网络应用程序,而非整个网络。

此外,由于应用层流量更贴近业务逻辑,在应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁,并且往往只需较小的成本,就可实现大的破坏效果,这样的不对称性自然更受攻击者们的关注与青睐。

HTTP DDoS(CC)攻击攻击类型:

(1) HTTP floods
这种攻击主要分为两种形式。第一种是HTTP GET request floods,攻击者通过构造HTTP GET请求报文,向目标服务器发送针对特定资源的大量请求。在客户端执行一条HTTP请求的成本很低,但是目标服务器做出对应的响应成本却可能很高。比如加载一个网页,服务端通常需要加载多个文件、查询数据库等才能做出响应;例如在Web业务的防护中,对于有SSR(Server-side rendering)功能页面的HTTP floods攻击,其量级与频率更加突出明显,也更容易对业务造成影响与危害。第二种是HTTP POST request floods,与GET request floods的显著区别是,POST请求往往需要携带表单参数或请求体信息,而这通常意味着服务端需要对请求内容进行相关解析处理,并将数据进行持久化(通常需要进行DB操作)。发送POST请求一般仅需较小的计算与带宽成本,而服务端进行处理操作的过程往往消耗更高。可以说这种攻击形式下,形成这种请求响应间资源消耗差异的空间或可能性更大,更容易实现让服务器过载从而拒绝服务的目标。

图片


(2) Large Payload POST requests通过POST方法发送容量大、结构复杂的请求体到目标服务器,使得目标服务器在解析这些请求内容的过程发生过载(CPU或内存);一般而言,攻击者通过构造特定的序列化请求体,如xml、json等,在服务端执行反序列化操作时引起服务过载。

(3) Asymmetric requests这种类型的攻击,利用的就是请求与响应的非对称性,请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说,这类攻击需要对目标服务有一定的熟悉与了解,明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。比如通过从数据库服务器下载大型文件或大量执行数据库的查询等接口,就容易被这种类型攻击所利用。

(4) Low&Slow attack(Slowloris/Slow Post/Read attack)这种类型的攻击更多是面向连接层面,以基于线程的Web服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程&连接资源,这类攻击中主要可分为Slowloris、Slow Post/Read 几种攻击方式。

HTTP DDoS攻击攻击特点:

(1) 攻击门槛、成本低相较于4层DDoS攻击,发起HTTP DDoS攻击往往无需构造复杂的攻击报文,仅需较少的带宽就能实现强大的攻击效果。(2) 攻击目标更精细攻击的目标可以精细到服务接口粒度,例如直播页面等,而不需要瘫痪目标的网络也能让业务出现拒绝服务。
(3) 破坏范围广,危害程度高虽然HTTP DDoS攻击的首要目标是瘫痪目标服务,但并不意味着对目标网络的可用性没有威胁。当HTTP floods量级到一定程度时,也存在瘫痪请求接入层网络的可能性。
(4) 攻击源分布广,隐匿性强实际的HTTP DDoS攻击中,攻击者常常利用规模庞大的肉鸡/代理IP,而HTTP DDoS攻击报文中往往不具备或具备难以察觉的恶意特征。对这些攻击源进行封禁处置效果有限甚至有误报风险,攻击者却可以随时更换新一批攻击源。
(5) 请求特征容易伪装,防护难度大不同于Web注入攻击场景,HTTP DDoS的攻击请求的报文特征常常处在一个难以判定好坏的区间,有时部分的异常特征不足以支撑执行拦截决策。攻击者可通过模拟、重放正常请求来发起攻击,即便在请求报文中某些特征被防护方捕获并针对性处置,攻击者也能感知到并作出调整。

图片


HTTP DDoS攻击,通常不会使用畸形报文,也无需使用伪装技巧。这类攻击往往通过使用大量的肉鸡+IP代理池发起,所以简单的封禁策略往往难以起到预期效果,这也是HTTP DDoS难以防护的原因。

德迅云安全多年的网络安防经验,建议可以从以下着手:

  1. 与网络安全团队配合,做好网络安全方面的检查,对承载业务的情况提前做好云监测,可以帮助客户全面掌握业务系统风险态势;
  • 部署安全方案,提高自身防护能力。HTTP DDoS攻击发生时往往来势汹汹,事先并没有任何征兆。这就意味着事中、事后的处置策略对当前攻击通常只能起到应急补救的效果。因此,对于存在攻击风险的网站业务,预先进行安全防护就显得更为重要。
德迅云安全杨德俊
关注
DNS攻击防护原理
focus on security
07-12 1917
针对四种防护算法进行DNS攻防测试,防护算法如下:默认算法(限速)TC重传cname跳转首次query丢弃重点针对攻击原理、防护原理进行说明,针对如何测试,提供参考文档。DNS request flood攻击攻击原理:1、DNS request flood攻击原理其实很简单,就是黑客控制僵尸网络向DNS服务器发送大量的不存在域名的解析请求,最终导致服务器因大量DNS请求而超载,无法继续响应正常用户的DNS请求,从而达到攻击的目的。2、在DNS request flood攻击过程中,攻击的目标可能是D...
应用层(DNS/HTTP/HTTPS)攻击与防御原理
曹世宏的博客
05-16 7733
网络攻击:TCP、UDP类攻击 网络攻击可参考:网络层(TCP/UDP)攻击与防御原理 DNS类报文攻击防御 简要笔记: 针对DNS Anti-ddos ,针对缓存服务器 虚假源 (1)源认证 发送UDP 53的DNS请求 ---------------请用TCP 53的DNS请求 分为两种情况 客户端不支持TCP 53 被动模式:首包丢弃 服务端不支持TCP 53 Anti-d...
运维36讲第27课:应用安全:基于 HTTPHTTPS 请求过程中常见 waf 攻防策略
sucaiwa的博客
03-21 537
上个课时讲解的 iptables 安全主要是4 层协议规则。除了 4 层安全外,7 层的安全攻击也是我们必须掌握的。那么在本课时我们基于 HTTPHTTPS 请求过程中常见的安全防护问题来讲解 7 层应用安全。
缓慢的http拒绝服务攻击 tomcat_HTTP攻击有哪些类型以及怎样防御
weixin_39689347的博客
12-08 1550
HTTP 流量主导着互联网。数据中心也经历了大量的 HTTP 流量,许多企业看到越来越多的收入来自在线销售。然而,随着流行度的增长,风险随之增长,并且就像任何协议一样,HTTP 很容易受到攻击。天下数据将为您描述针对 HTTP 服务器发起的常见 DDoS 攻击。首先,HTTP 通过 TCP 运行。因此,Web 服务器可能面临许多与 TCP 相关的攻击。在规划 HTTP 服务保护时,请务必记住,攻击...
侧信道攻击防护
qq_46443367的博客
09-26 3492
基本的侧信道攻击防护
HTTP GET Flood攻击防护解析
LuHai3005151872的博客
07-27 3279
HTTP GET Flood HTTP GET Flood攻击的原理很简单,攻击者利用攻击工具或者操纵僵尸主机,向目标服务器发起大量的HTTP GET报文,请求服务器上涉及数据库操作的URI或其它消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。 302重定向 302重定向认证的原理是Anti-DDoS系统代替服务器向客户端响应302状态码(针对GET请求方法的重定向),告知客户端需要重定向到新的URL,以此来验证客户端的真实性。真实客户端的浏览器可以自动完成重定向过程,通过认证;而虚假源或者一.
SQL注入攻击防护
weixin_62707591的博客
06-21 6604
攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式。① 概述开源的自动化SQL注入工具,由Python写成② 主要功能扫描、发现、利用给定URL的SQL注入漏洞③ 特点。
如何防护DDOS攻击
HoewDec的博客
02-25 1019
DDOS攻击的趋势呈现出明显的增长趋势,特别是在网络攻击技术的发展和攻击者的技术水平提高的情况下,DDOS攻击的发生频率和规模也在不断增加。此外,随着网络技术的发展,攻击者也可以利用更多的技术手段来实施DDOS攻击,比如利用智能设备、IoT设备等来实施攻击,这也使得DDOS攻击的趋势变得更加复杂。3. 启用服务器审计:可以通过配置服务器审计来审计服务器的活动,从而及时发现攻击者发起的DDOS攻击,并及时采取措施。3. 启用IP地址过滤:可以通过配置防火墙来启用IP地址过滤,以阻止攻击者发起的DDOS攻击
http慢速攻击原理和防护方法
focus on security
12-10 5671
http慢速攻击是利用Http现有合法机制,在建立了与Http服务器的连接后,尽量长时间保持该连接,不释放,达到对http服务器的攻击。常见攻击有两种: slow post:攻击者通过发送post报文向服务器请求提交数据,将总报文长度设置为一个很大是数值,但是在随后的数据发送中,每次只发送很小的白问,这样导致服务器端一直等待攻击者发送数据。 slow headers: 攻击者通过get或post向服务器建立连接,但是http头字段不发送结束符,之后发送其他字段进行保活。服务器会一直等待头信息中结束符而导致
芯片安全防护概论 第1章-芯片安全防护概论 第2章-侧信道攻击防护 第3章-故障攻击防护 第4章-侵入式及半侵入式攻击防护
06-02
第2章-侧信道攻击防护 第3章-故障攻击防护 第4章-侵入式及半侵入式攻击防护 第5章-硬件木马攻击防护 第6章-物理不可克隆函数 第7章-IP核安全防护 第8章-处理器安全防护 第9章-存储器安全防护 第10章-芯片...
详解WEB攻击之CSRF攻击防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
DDoS攻击--CC攻击防护详解(HTTP).docx
12-04
DDoS 攻击--CC 攻击防护详解(HTTP) DDoS 攻击是一种常见的网站攻击方法,CC 攻击是其中的一种,俗称 Challenge Collapsar 攻击。CC 攻击针对 Web 服务在第七层协议发起攻击攻击者通过匿名代理服务器在互联网上...
XSS漏洞攻击防护源代码
10-31
比如在论坛发帖或评论时,如果服务器没有对用户输入进行适当的验证和清理,攻击者可以插入恶意脚本,所有查看该帖子的用户都可能受到影响。 3. DOM型XSS:这类攻击不涉及服务器,而是利用了JavaScript的DOM...
WebSocket和Http的server send event(sse)/EventSource
の博客
09-27 497
WebSocket是一种在单个TCP连接上进行全双工通讯(双向通信)的协议,能够实现客户端和服务器之间双向的实时持久通信,具备低延迟和高通信效率的特性,且在各种浏览器中都有良好的兼容性,可以广泛应用于Web开发领域。使用场景非常广泛,以下是一些常见的使用场景:即时通讯:WebSocket 非常适合需要即时通讯的场景,如即时聊天、在线游戏、共享文档、远程桌面等。
WinHttp异步实现GET, POST, 多线程下载文件
FlameCyclone的博客
09-29 439
基于WinHttp封装, 实现异步多线程文件下载, GET请求, POST请求
HTTPHTTPS 协议的区别?
智通全网络工作室的博客
09-27 1224
HTTP 是一种无状态的、基于请求/响应模型的应用层协议,旨在用于分布式、协作和超媒体信息系统。最常见的用途是查看网页。HTTP 协议在 TCP/IP 上运行,其标准端口是 80。了解 HTTPHTTPS 之间的区别至关重要。HTTPS 是保护用户信息和提升网站信任度的关键因素。在一个安全意识增强的时代,确保你的网站使用 HTTPS 不仅是一个负责任的做法,也是赢得用户信任的基石。希望这篇博客能帮助你更好地理解这两种协议的区别及其重要性。
java8:hutool:httputil.post读取配置项中的url
hongyuxiongji的博客
09-28 524
不过这种方式有潜在的问题,因为在Spring容器初始化Bean的时候构造函数会被调用,但是如果@Value注入还没完成(例如配置文件加载延迟等情况),可能会导致staticUrl的值为null。如果HttpUtil.post是静态方法,无法直接访问非静态的@Value注入的属性。1. 首先将配置项的值通过@Value注入到类的成员变量,然后在构造函数中将这个值传递给一个静态变量。这种方式更符合Spring的依赖注入原则,而且可以确保在需要使用配置值的时候能够正确获取到。通过一个工具类方法获取配置值。
windows C++-使用任务和 XML HTTP 请求进行连接(一)
最新发布
苏洛的博客
10-02 590
当您使用 IXMLHTTPRequest2 接口通过 HTTP 创建 Web 请求时,可以实现 IXMLHTTPRequest2Callback 接口来接收服务器响应并对其他事件做出响应。此示例定义了 HttpRequest 类来创建 Web 请求,并定义了 HttpRequestBuffersCallback 和 HttpRequestStringCallback 类来处理响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值