應用層防禦

Http Flood

DDoS 攻擊囊括了 OSI 第三層、第四層、以及第七層,此文將介紹 OSI Layer7 又稱作應用程式層的攻擊手法,並提供相對應的應對方式。

Http Flood 定義

Http 為通常用於瀏覽網站頁面的網路協議,而 Http 洪水攻擊主要是通過偽裝成正常的 Http Request 來攻擊網站頁面,並佔據 Web Server 的運算資源,從而癱瘓網站的連線 Session,導致真正流量無法正常取得網站資源;也有人會稱此攻擊為 CC 攻擊 (Challenge Collapsar Attack)

Http Request 在 Restful 架構中的定義有兩種拿取網站資源的方式,也分別是 Http Flood 最主要的偽裝手法:

  1. Http GET:向指定的網站要求資料,主要是拿取圖像、影片檔、文字等等資料的請求,攻擊者透過多台 Zombie 同時拿取,來耗盡網頁伺服器的資源。
  2. Http POST:在網站上點選會員申請、帳號送出等等需要安全傳送資料的動作,都是透過 Http POST 的方式。另外,通常此動作會與後端資料庫做聯繫,攻擊者持續或者一瞬間發出大量的 POST 請求,同樣也會導致服務飽和、甚至有拒絕服務的情況產生。

另外,透過 Http GET 的方式,也有一種緩慢且低流量的攻擊模式,有別於傳統攻擊手法是一次性、大量的傳入封包,是透過緩慢佔據機器多個執行緒的方式,來造成主機無法服務正常流量;通常是透過 R.U.D.Y. (R-U-Dead-Yet) 的工具,來達成攻擊。

  • 應對方法

架設 WAF,例如:AWS Cloud Shield、GCP Cloud Armor、Alibaba Anti-DDOS。

在進行 POST 的動作前,透過各種方式來驗證使用者,例如圖片辨識等。

架設如 Load Balance 等等的反向代理,透過 Reverse Proxy 的機制來防止供應服務的主機被攻擊。

流量清洗,透過判別IP來源,比對自家的白名單庫,來確認是否放行。

低速緩慢攻擊可透過擴大主機執行緒的方式來阻止,但不可避免的是仍會造成回應速度減低,因此還是建議透過上述方式來進行防禦。

DNS Hijacking (DNS劫持)

DNS 劫持的攻擊手法通常是透過 DNS 重新定向,使真實上網的使用者連結到攻擊者所架設的假網站。一般 DNS 查詢的模式,使用者發出查詢訊息,到所在網域內的 DNS Server,DNS Server 再返回正確的 IP 給使用者。而 DNS 劫持是攻擊者透過各種方式更改 DNS 設定,讓正常的使用者存取到錯誤的 IP。例:使用者存取 google.com,正確網站的 IP 位置為 8.8.8.8,然而 DNS server 已遭受攻擊,使用者查詢 google.com,返回的是錯誤IP:192.168.3.4。

  • DNS 劫持的四種攻擊模式

本機端劫持

惡意攻擊者會在使用者的電腦上安裝木馬程式,更改本機端的DNS設定,造成使用者聯線到惡意網站。

中間人攻擊 MITM

攻擊者截取使用者端到 DNS server 的封包進行修改,造成使用者連線到錯誤的 IP 位置。

路由器劫持

通過攻擊路由器,修改其中的 DNS 設定,造成錯誤的IP響應。

惡意 DNS Server

攻擊者直接攻擊 DNS Server,並修改其中的 DNS 設定,比較難以成功,但是造成的影響與危害最大。

  • 應對方法

由於 DNS Server 通常使用 UDP 的通訊方式,並不會檢查來源,因而形成諸多透過 DNS 的攻擊手法,為了保護 DNS  Server,使偽造的 DNS 記錄不造成影響,因而發展出 DNSSEC 的技術。通過 DNSSEC 的技術,所有的 DNS 回覆都必須要有數位簽章。以此來確保 DNS 的紀錄沒有受到偽造。

DNS 汙染

通過 DNS Spoofing (DNS偽造) 的方式,來使 DNS 快取伺服器紀錄錯誤的 IP 位置。

現今網路都有可靠且可信賴的 DNS Server 供網路使用者查詢,但有些時候為了分擔這些伺服器的壓力,就會透過其他的 DNS Server 來進行查詢,通常這些 DNS Server 會快取住第一次查詢,以便使用者第二次查詢時能快速存取。

攻擊透過此機制,利用 DNS Spoofing 的方式去將 DNS Server 的紀錄汙染,同時也會連帶影響到其他鄰近的 DNS Server,造成嚴重的後果。有些案例是政府機構為了避免自己的國民連線至某些網站,特意進行 DNS汙 染,嚴重時有可能會連帶影響到網際網路上的其他國家的使用者。

  • 應對方法

由於 DNS Server 通常使用 UDP 的通訊方式,並不會檢查來源,因而形成諸多透過 DNS 的攻擊手法,為了保護 DNS  Server,使偽造的 DNS 記錄不造成影響,因而發展出 DNSSEC 的技術。通過 DNSSEC 的技術,所有的 DNS 回覆都必須要有數位簽章。以此來確保 DNS 的紀錄沒有受到偽造。

Memcached 攻擊

Memcached 是一種分散式物件快取系統,用於協助減輕網站資料庫的負擔,並提升網站效能。

而 Memcached 攻擊之手法類似於NTP、DNS 放大攻擊,是透過網路上多個處理 Memcached – UDP Server 去響應更大的封包,並藉由 IP Spoofing 的方式,使這些放大後的封包被傳送到受害者的網域,造成受害者端服務中斷。

  • 應對方法

確認自身業務是否需要 UDP Port,若不需要則關閉UDP Port,防止自身成為放大封包的幫兇,並只監聽內網 IP。

架設防火牆於 Memcached Server 前。

驗證 IP 來源。

雲原生的防禦服務。

# POPULAR PLAN

我們的熱門方案

ECS 共享型 N4

適用於中小型網站搭建等應用

$2340

伺服器 / 1年

1 核 2G / 1年
1 - 5M 頻寬
20 - 40G SSD硬碟
立即申請

ECS 突發性能型 T6

開發者成長計劃!輕量低負載

$1999

伺服器 / 1年

2 核 2G / 1年
1 - 5M 頻寬
20 - 40G SSD硬碟
立即申請

ECS 共享型 S6

100% 性能基線,性能強勁

$1875

伺服器 / 1年

1 核 2G / 1年
1 - 5M 頻寬
20 - 100G 可選硬碟
立即申請

ECS 計算型 C5

適用 Web 服務器、廣告、遊戲企劃

$4650

伺服器 / 1年

2 核 4G / 1年
1 - 5M 頻寬
20 - 100G 可選硬碟
立即申請

雲端數據庫 MySQL

MySQL 全球最受歡迎的數據庫

$90

伺服器 / 1年

基礎版:1核 1G / 1年
單數據庫節點,節省成本
計算與儲存分離,高CP值
立即申請

雲端數據庫 Redis

提供高穩定高性能的服務環境

$90

伺服器 / 1年

社區版:256M 主從
低延遲高效線上應用環境
排行榜、計數、分佈式環境
立即申請

國內簡訊方案

支援驗證碼、簡訊通知、推廣

$165

伺服器 / 1年

1000 則簡訊
簡訊達到率高達99%
智能調度,高效能,免維護
立即申請

CDN 全站加速流量

適用於大多數的 CDN 和 DCDN

$200

伺服器 / 1年

500 GB
2800 + 全球節點
極速高質量內容分發
立即申請

我們的 聯絡資訊

以下是我們的聯絡資訊,有任何雲端相關的專業問題歡迎隨時與我們聯繫,我們非常樂意跟你聊聊

地址

臺北市內湖區瑞光路 76 巷 67 號 3 樓

電子郵件

service@kingzone.com.tw

電話

(02) 2796-5770

也可以透過線上表單諮詢

任何雲端上的相關需求,請留下您的聯絡資訊,我們會儘速與您聯繫