CDN網(wǎng)站防御

時(shí)間：2023-04-21 19:39:01 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-04-21 19:39:01 來(lái)源：網(wǎng)站運(yùn)營(yíng)

CDN網(wǎng)站防御：CDN防御采用零部署、提供端對(duì)端、基于電腦技術(shù)一站式解決各種安全問(wèn)題及應(yīng)用加速

高防CDN安全防護(hù)系統(tǒng)為網(wǎng)站、在線應(yīng)用提供一站式的安全加速解決方案，網(wǎng)站在“零部署”、“零維護(hù)”的情況下，防止諸如 XSS、SQL注入、木馬、零日攻擊、僵尸網(wǎng)絡(luò)等各種安全問(wèn)題。保護(hù)他們免受日益增加并不斷進(jìn)化的眾多網(wǎng)絡(luò)威脅的侵害，特別是分布式拒絕服務(wù)（DDoS）攻擊。同時(shí)采用全球跨運(yùn)營(yíng)商智能調(diào)度、頁(yè)面優(yōu)化、智能緩存等技術(shù)，進(jìn)一步提升訪問(wèn)速度，降低故障率，從而整體提升網(wǎng)站的用戶體驗(yàn)。

流量攻擊介紹

　　1:什么是DDoS攻擊

　　DDOS又稱為分布式拒絕服務(wù)，全稱是Distributed Denial of Service。 DDoS攻擊原理： 通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。常見(jiàn)的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常見(jiàn)的一種，其原理是TCP協(xié)議設(shè)計(jì)中得缺陷（3次握手）。在SYN flood攻擊時(shí)，首先偽造大量的源IP地址，分別向服務(wù)器發(fā)送的大量的SYN包，服務(wù)器會(huì)返回ACK/SYN包，但是IP是偽造的，所以服務(wù)器是不會(huì)受到應(yīng)答的，會(huì)重試3-5次，并且等待一個(gè)SYN time（一般是39秒到2分鐘），如果超時(shí)則丟棄這個(gè)連接。攻擊者發(fā)送大量的這種偽造源地址的SYN請(qǐng)求，服務(wù)端會(huì)消耗很多的資源（CPU和內(nèi)存）來(lái)處理這種半連接，同時(shí)還要對(duì)這些請(qǐng)求進(jìn)行SYN/ACK重試，最后的結(jié)果就是服務(wù)器無(wú)暇理睬正常的連接請(qǐng)求，導(dǎo)致拒絕服務(wù)。




　　2:什么是CC攻擊

　　CC攻擊的前身是一個(gè)叫fatboy的攻擊程序，當(dāng)時(shí)是黑客為了挑戰(zhàn)綠盟的一款防DDOS設(shè)備開發(fā)的。 CC應(yīng)該算是一個(gè)應(yīng)用層的DDOS，是發(fā)生在TCP3次握手已經(jīng)完成之后，，所以發(fā)送的IP都是真實(shí)的，但應(yīng)用層的DDOS又是甚至比網(wǎng)絡(luò)層的DDOS更可怕，因?yàn)榻裉鞄缀跛械纳虡I(yè)anti-DDOS設(shè)備，只在對(duì)抗網(wǎng)絡(luò)層DDOS時(shí)效果較好，而對(duì)應(yīng)用層DDOS攻擊卻缺乏有效的手段。CC攻擊的原理很簡(jiǎn)單，就是對(duì)一些消耗資源交單的應(yīng)用頁(yè)面不斷地發(fā)起正常的請(qǐng)求，以達(dá)到消耗服務(wù)端資源的目的，在web應(yīng)用中，查詢數(shù)據(jù)庫(kù)、讀寫硬盤文件的操作，相對(duì)都會(huì)消耗比較多的資源。一個(gè)簡(jiǎn)單的例子，一個(gè)小的網(wǎng)站，可能被搜索引擎、信息收集等系統(tǒng)的爬蟲爬死，或者是掃描器掃死，這與應(yīng)用層的DDOS攻擊的結(jié)果很像。




　　3:大級(jí)別攻擊運(yùn)行原理

　　一個(gè)比較完善的DDoS攻擊體系分成四大部分，先來(lái)看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)第4部分的受害者來(lái)說(shuō)，DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，駭客(cracker)有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自駭客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，只是一旦駭客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。 　　有的朋友也許會(huì)問(wèn)道："為什么駭客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來(lái)說(shuō)，肯定不愿意被捉到，而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后，高水平的攻擊者會(huì)首先做兩件事：1. 考慮如何留好后門！2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺(jué)到。比較不敬業(yè)的駭客會(huì)不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒(méi)了就會(huì)知道有人干了壞事了，頂多無(wú)法再?gòu)娜罩景l(fā)現(xiàn)是誰(shuí)干的而已。相反，真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀儡機(jī)。 　　但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程，即使在有很好的日志清理工具的幫助下，駭客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過(guò)它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī)，這上級(jí)的計(jì)算機(jī)如果是駭客自己的機(jī)器，那么他就會(huì)被揪出來(lái)了。但如果這是控制用的傀儡機(jī)的話，駭客自身還是安全的。控制傀儡機(jī)的數(shù)目相對(duì)很少，一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)，清理一臺(tái)計(jì)算機(jī)的日志對(duì)駭客來(lái)講就輕松多了，這樣從控制機(jī)再找到駭客的可能性也大大降低。

　　4:DDOS攻擊的目的？

　　駭客一般都出于商業(yè)目的，比如有人雇傭駭客對(duì)一個(gè)網(wǎng)站進(jìn)行攻擊，事后給錢；不過(guò)如果該網(wǎng)站報(bào)警后被查出來(lái)幕后黑手的話，那么駭客和這位雇傭駭客的幕后黑手將受到法律嚴(yán)懲！但是通過(guò)肉雞攻擊的ddos一般在雇傭攻擊的情況下則比較難查，因?yàn)槎际菍I(yè)駭客。

　　5:TCP全連接攻擊？

　　和SYN攻擊不同，它是用合法并完整的連接攻擊對(duì)方，SYN攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請(qǐng)求，防火墻一般都無(wú)法過(guò)濾掉這種攻擊，這種攻擊在現(xiàn)在的DDOS軟件中非常常見(jiàn)，有UDP碎片還有SYN洪水，甚至還有TCP洪水攻擊，這些攻擊都是針對(duì)服務(wù)器的常見(jiàn)流量攻擊 　　59.50.179.84:2900 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2901 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2902 220.181.6.18:80 ESTABLISHED 　　59.50.179.84:2903 220.181.6.18:80 ESTABLISHED 　　通過(guò)這里可以看出59.50.179.84這個(gè)IP對(duì)220.181.6.18這臺(tái)服務(wù)器的80端口發(fā)動(dòng)TCP 全連接攻擊，通過(guò)大量完整的TCP鏈接就有可能讓服務(wù)器的80端口無(wú)法訪問(wèn)。 　　SYN變種攻擊：發(fā)送偽造源IP的SYN數(shù)據(jù)包，但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)，這種攻擊會(huì)造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。

　　6:TCP混亂數(shù)據(jù)包攻擊 ？

　　發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn,ack,syn+ack,syn+rst等等，會(huì)造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。

　　7用UDP協(xié)議的攻擊？

　　很多聊天室，視頻音頻軟件，都是通過(guò)UDP數(shù)據(jù)包傳輸?shù)模粽哚槍?duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護(hù)，一般防護(hù)墻通過(guò)攔截攻擊數(shù)據(jù)包的特征碼防護(hù)，但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔截。
　　8:WEB Server多連接攻擊

　　通過(guò)控制大量肉雞同時(shí)連接訪問(wèn)網(wǎng)站，造成網(wǎng)站癱瘓，這種攻擊和正常訪問(wèn)網(wǎng)站是一樣的，只是瞬間訪問(wèn)量增加幾十倍甚至上百倍，有些防火墻可以通過(guò)限制每個(gè)連接過(guò)來(lái)的IP連接數(shù)來(lái)防護(hù)，但是這樣會(huì)造成正常用戶稍微多打開幾次網(wǎng)站也會(huì)被封。

　　9:WEB Server變種攻擊

　　通過(guò)控制大量肉雞同時(shí)連接訪問(wèn)網(wǎng)站，一點(diǎn)連接建立就不斷開，一直發(fā)送一些特殊的GET訪問(wèn)請(qǐng)求造成網(wǎng)站數(shù)據(jù)庫(kù)或者某些頁(yè)面耗費(fèi)大量的CPU,這樣通過(guò)限制每個(gè)連接過(guò)來(lái)的IP連接數(shù)就失效了，因?yàn)槊總€(gè)肉雞可能只建立一個(gè)或者只建立少量的連接。這種攻擊非常難防護(hù)。

　　10:針對(duì)游戲服務(wù)器的攻擊

　　因?yàn)橛螒蚍?wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊(cè)端口7000,人物選擇端口7100，以及游戲運(yùn)行端口7200,7300,7400等，因?yàn)橛螒蜃约旱膮f(xié)議設(shè)計(jì)的非常復(fù)雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過(guò)肉雞模擬游戲客戶端進(jìn)行自動(dòng)注冊(cè)、登陸、建立人物、進(jìn)入游戲活動(dòng)從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來(lái)分析出哪些是攻擊哪些是正常玩家。 　　以上介紹的幾種最常見(jiàn)的攻擊也是比較難防護(hù)的攻擊。一般基于包過(guò)濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯(cuò)，但是不能從根本上來(lái)分析tcp，udp協(xié)議，和針對(duì)應(yīng)用層的協(xié)議，比如http,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來(lái)越多的都是針對(duì)應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒(méi)辦法很好的防護(hù)新型的攻擊。