椒圖科技李棟:基于web服務(wù)器自適應(yīng)插件的cc防御技術(shù)
2017-11-17 12:37:27 來源:亞太CDN產(chǎn)業(yè)聯(lián)盟 熱度:
2017年11月15日,GFIC-2017亞太CDN年會(huì)在上海隆重召開,大會(huì)聚焦“高清云、高防云、視頻云”。會(huì)議進(jìn)入第二天,北京椒圖科技副總裁李棟先生發(fā)表了題為《基于web服務(wù)器自適應(yīng)插件的cc防御技術(shù)》的演講,現(xiàn)場(chǎng)分享了椒圖科技應(yīng)對(duì)CC攻擊如何防御,進(jìn)而保證應(yīng)用的高可用性與可靠性。
四種方式 應(yīng)對(duì)cc攻擊
在演講中,李棟指出,與DDoS攻擊不同,CC攻擊主要是對(duì)服務(wù)器的內(nèi)存等占用,CC攻擊的攻擊原理比較簡單,通過用一個(gè)IP向服務(wù)器發(fā)起數(shù)據(jù)庫請(qǐng)求,在短時(shí)間內(nèi)占用大量的CPU包括內(nèi)存的資源。常規(guī)的防CC攻擊有四種,一個(gè)是硬件WAF,它現(xiàn)在是大企業(yè)的標(biāo)配,優(yōu)點(diǎn)是部署非常方便,本身是用硬件方式交付,吞吐量比較高,但缺點(diǎn)是價(jià)格昂貴,對(duì)于中小企業(yè)來說應(yīng)該是難以負(fù)擔(dān)的。另外,硬件WAF需要明確的網(wǎng)絡(luò)邊界,不適合云環(huán)境。椒圖之前遇到一個(gè)用戶購買大量的硬件,在把業(yè)務(wù)遷移到云上,又重新數(shù)據(jù)庫,過濾之后再接到里面,這種做法效率比較低。
第二個(gè)是云WAF。云WAF的優(yōu)點(diǎn)分發(fā)比較快,部署方便,只需要修改解析就可完成接入,也可以隱藏服務(wù)器的真實(shí)IP,降低被攻擊的風(fēng)險(xiǎn),在保護(hù)網(wǎng)站的同時(shí),還可以充當(dāng)CDN使用,加快網(wǎng)站訪問速度。但缺點(diǎn)是容易被繞過,數(shù)據(jù)安全性能也不夠高。
第三是手工cc加固。手工cc加固一方面從歷史日志來區(qū)分攻擊者與正常訪客,由于CC攻擊是抓取一個(gè)地址,因此可以從日志里面抓取一個(gè)看是CC訪問還是正常訪問,如果是CC訪問就直接屏蔽。另一方面是網(wǎng)站內(nèi)容靜態(tài)化, 把能做成靜態(tài)頁面的盡量不要?jiǎng)討B(tài)化。目前網(wǎng)易、新浪、搜狐等門戶網(wǎng)站已完成大部分頁面的靜態(tài)化。一個(gè)靜態(tài)頁面不需要服務(wù)器多少資源,甚至可以直接從內(nèi)存中讀出來發(fā)給用戶。李棟表示,到目前為止,HTML未出現(xiàn)過溢出漏洞。然而手工加固缺點(diǎn)非常明顯,需要耗費(fèi)大量的人工,不停去做靜態(tài)化。
李棟表示,以上幾種方式都需要硬件、軟件還有人工,第四種方式是在web中間件自適應(yīng)過濾插件。采用云鎖在WEB中間件中插入過濾插件(WAF探針)的方式,通過多維度防護(hù)規(guī)則有效防御已知安全漏洞攻擊。這樣的好處是因?yàn)閃EB是可以適應(yīng)云、物理,混合等復(fù)雜環(huán)境,也可以自適應(yīng)調(diào)整業(yè)務(wù)吞吐量,所有數(shù)據(jù)信息保存在本地。缺點(diǎn)是需要在每個(gè)操作系統(tǒng)上單獨(dú)部署,需要調(diào)試與操作系統(tǒng)、其他應(yīng)用的兼容性,保證高可用性與高可靠性。
虛擬化架構(gòu) 保證高可用性
在如何保證高可用性上,李棟指出,椒圖科技目前實(shí)現(xiàn)了對(duì)一些虛擬化架構(gòu)有比較好的支持,全面支持共有云及私有云,混合云,跨系統(tǒng)版本、物理架構(gòu)管理減少資源占用,內(nèi)存占用25到50M之間,也采取業(yè)務(wù)有限原則,不依賴系統(tǒng)。在操作系統(tǒng)兼容性上,椒圖現(xiàn)在實(shí)現(xiàn)了2003版本以上的支持。運(yùn)維軟件上,椒圖既有一些大版本的支持,也有小版本的支持。
椒圖抗CC攻擊產(chǎn)品有三重模式,第一種模式是計(jì)數(shù),通過看請(qǐng)求次數(shù),用戶可以根據(jù)業(yè)務(wù)的實(shí)際情況進(jìn)行一個(gè)調(diào)整,然后中間是一個(gè)反向驗(yàn)證,這個(gè)是高低模式,比較常用的模式。當(dāng)CC攻擊發(fā)生之后,會(huì)有一個(gè)攻擊溯源,即攻擊發(fā)起包括攻擊的頁面,給使用者一個(gè)修復(fù)漏洞一個(gè)依據(jù)。
然而以上這些方式只能防御一些已知的攻擊,黑客也在不斷的進(jìn)步,僅就它的一段代碼從特征上很難判斷。對(duì)于穿過WAF探針的流量,RASP探針會(huì)進(jìn)行第三次檢測(cè),對(duì)應(yīng)用系統(tǒng)的流量,進(jìn)行持續(xù)監(jiān)控,如果檢測(cè)到了,就會(huì)進(jìn)行攔截。同時(shí)在這個(gè)虛擬安全域椒圖還加了一個(gè)WAF探針,思路就是在內(nèi)部側(cè)面把外部中間件因?yàn)樘鎿Q。在云端還有虛擬化的沙盒,可以通過檢測(cè)加密過這變形甚至未活動(dòng)的,一旦在沙盒檢測(cè)到了,會(huì)返回到本地然后進(jìn)行攔截,變成自適應(yīng)的環(huán)境體系,整個(gè)過程不需要任何的人工干預(yù)。
責(zé)任編輯:王剛