AV网址AAA,桃花色综合影院,欧美成人精品手机在线,国产又爽又大又黄a片色戒一

    歡迎來到云網時代數據中心! 業(yè)務咨詢熱線:0755-88868179增值電信業(yè)務經營許可證:B1-20170628
行業(yè)新聞
當前位置:首頁>文章中心>行業(yè)新聞

大規(guī)模的應用層攻擊可能會破壞混雜的DDOS防御

發(fā)布時間:2020-04-03 點擊數:113
安全研究人員最近觀察到大型應用程序層DDOS攻擊。黑客在此攻擊中使用了新技術,可以輕松突破DDOS防御。對于將來的Web應用程序運營商來說,這可能會成為一個大問題。

大規(guī)模應用層攻擊會破壞混雜DDOS防御

攻擊這次攻擊的目標是一個中國游戲網站,其峰值為8.7Gbps。受害站點使用了Imperva的DDOS防御服務。今天是DDOS攻擊帶寬經常超過100Gbps的時代。 8.7Gbps似乎不是很大的威脅。但是,此事件在應用程序層攻擊的歷史上是前所未有的。



DDOS攻擊將在網絡層和應用程序層之間進行攻擊。在網絡層攻擊中,攻擊者的目標是通過各種網絡協議發(fā)送惡意數據包,吞噬目標的全部帶寬并阻塞其網絡。



應用程序級別的攻擊也稱為HTTP洪水,其目的是吞噬目標的CPU和內存以及其他計算資源,從而使Web服務器厭倦了對請求的響應。一旦達到請求限制,服務器將停止響應新請求,從而對普通用戶造成DDOS攻擊效果。



相反,HTTP Flood攻擊不同于網絡層攻擊。 HTTP泛洪不依賴于導致損壞的發(fā)送數據包的數量,而是依賴于目標Web應用程序需要處理的請求數量。迄今為止,最大的HTTP洪泛每秒可以發(fā)出200,000個請求,但是由于每個請求數據包的大小非常小,因此其帶寬消耗從未超過500Mbps。



大多數公司網絡基礎結構旨在每秒處理100個請求。 Imperva研究人員說,如果未部署反DDOS服務,并且檢測到并過濾了網絡釣魚請求,黑客將很容易破壞其操作。



防御為了防止網絡層攻擊,企業(yè)通常需要首先將所有流量定向到DDOS防御解決方案運營商。運營商將過濾惡意數據包,僅將合法數據包發(fā)送給客戶。



防御應用程序層攻擊的過程有所不同:通常是通過在客戶的Web服務器前面添加特殊的硬件設備來實現的。



混合DDOS防御解決方案由以上兩種解決方案組成:基于云的網絡層防御和前端應用程序層防御。但是,對于這種8.7Gbps HTTP泛洪攻擊而言,它可能是無能為力的。



由受Nitol惡意軟件感染的設備組成的僵尸網絡發(fā)起了攻擊,該攻擊發(fā)送了HTTP POST請求,該請求模仿了百度搜索引擎的爬蟲。請求數每秒達到163,000次,試圖將隨機生成的大容量文件上傳到服務器。這會產生相當大的攻擊帶寬占用空間。



Imperva的研究人員在博客文章中寫道:“只有在建立TCP連接后,才能過濾應用層流量。這意味著將允許惡意流量訪問,而這種高帶寬攻擊將造成巨大破壞,這只能是公司使用外部防御時解決的問題。”



這意味著網絡層DDOS防御服務將釋放這些流量,并讓企業(yè)的前端防御解決方案解決,但后者的功能原本是用來處理應用程序層攻擊的。但是,惡意數據包實際上并未到達應用程序層,因為公司網絡的上游帶寬無法處理它們生成的流量。這有點像將網絡層攻擊隱藏在應用層攻擊之后。



“確實,當今一些大型組織具備10Gb突發(fā)上行鏈路功能。但是,攻擊者可以輕松發(fā)起更多請求或調用更多僵尸網絡資源來擴大攻擊范圍。因此,第二波攻擊很容易達到12 To 15Gbps。很少有非通信運營商存在機構具有解決這類前端攻擊的基礎架構?!?/span>



一些行業(yè)很難應對這種高帶寬應用層攻擊,例如金融行業(yè)。金融機構的Web應用程序需要使用HTTPS來加密數據傳輸。另外,由于法規(guī)遵從性要求,為了保護財務和個人數據,他們還必須終止與企業(yè)內部自己的基礎結構的惡意HTTPS鏈接。



因此,應用程序級DDOS保護方案只能在解密數據后過濾請求。此外,他們必須在組織內部執(zhí)行此操作。


以上來自云網時代小編的分享,云網時代為大家提供專業(yè)化深圳服務器租用,深圳服務器托管,深圳主機租用,云服務器租用,香港主機租用等海內外服務器相關資源,詳情歡迎咨詢客服了解。

在線客服