2017年11月15日,GFIC-2017亞太CDN年會在上海隆重召開,大會聚焦“高清云、高防云、視頻云”。會議進入第二天,北京椒圖科技副總裁李棟先生發(fā)表了題為《基于web服務器自適應插件的cc防御技術》的演講,現場分享了椒圖科技應對CC攻擊如何防御,進而保證應用的高可用性與可靠性。
四種方式 應對cc攻擊
在演講中,李棟指出,與DDoS攻擊不同,CC攻擊主要是對服務器的內存等占用,CC攻擊的攻擊原理比較簡單,通過用一個IP向服務器發(fā)起數據庫請求,在短時間內占用大量的CPU包括內存的資源。常規(guī)的防CC攻擊有四種,一個是硬件WAF,它現在是大企業(yè)的標配,優(yōu)點是部署非常方便,本身是用硬件方式交付,吞吐量比較高,但缺點是價格昂貴,對于中小企業(yè)來說應該是難以負擔的。另外,硬件WAF需要明確的網絡邊界,不適合云環(huán)境。椒圖之前遇到一個用戶購買大量的硬件,在把業(yè)務遷移到云上,又重新數據庫,過濾之后再接到里面,這種做法效率比較低。
第二個是云WAF。云WAF的優(yōu)點分發(fā)比較快,部署方便,只需要修改解析就可完成接入,也可以隱藏服務器的真實IP,降低被攻擊的風險,在保護網站的同時,還可以充當CDN使用,加快網站訪問速度。但缺點是容易被繞過,數據安全性能也不夠高。
第三是手工cc加固。手工cc加固一方面從歷史日志來區(qū)分攻擊者與正常訪客,由于CC攻擊是抓取一個地址,因此可以從日志里面抓取一個看是CC訪問還是正常訪問,如果是CC訪問就直接屏蔽。另一方面是網站內容靜態(tài)化, 把能做成靜態(tài)頁面的盡量不要動態(tài)化。目前網易、新浪、搜狐等門戶網站已完成大部分頁面的靜態(tài)化。一個靜態(tài)頁面不需要服務器多少資源,甚至可以直接從內存中讀出來發(fā)給用戶。李棟表示,到目前為止,HTML未出現過溢出漏洞。然而手工加固缺點非常明顯,需要耗費大量的人工,不停去做靜態(tài)化。
李棟表示,以上幾種方式都需要硬件、軟件還有人工,第四種方式是在web中間件自適應過濾插件。采用云鎖在WEB中間件中插入過濾插件(WAF探針)的方式,通過多維度防護規(guī)則有效防御已知安全漏洞攻擊。這樣的好處是因為WEB是可以適應云、物理,混合等復雜環(huán)境,也可以自適應調整業(yè)務吞吐量,所有數據信息保存在本地。缺點是需要在每個操作系統(tǒng)上單獨部署,需要調試與操作系統(tǒng)、其他應用的兼容性,保證高可用性與高可靠性。
虛擬化架構 保證高可用性
在如何保證高可用性上,李棟指出,椒圖科技目前實現了對一些虛擬化架構有比較好的支持,全面支持共有云及私有云,混合云,跨系統(tǒng)版本、物理架構管理減少資源占用,內存占用25到50M之間,也采取業(yè)務有限原則,不依賴系統(tǒng)。在操作系統(tǒng)兼容性上,椒圖現在實現了2003版本以上的支持。運維軟件上,椒圖既有一些大版本的支持,也有小版本的支持。
椒圖抗CC攻擊產品有三重模式,第一種模式是計數,通過看請求次數,用戶可以根據業(yè)務的實際情況進行一個調整,然后中間是一個反向驗證,這個是高低模式,比較常用的模式。當CC攻擊發(fā)生之后,會有一個攻擊溯源,即攻擊發(fā)起包括攻擊的頁面,給使用者一個修復漏洞一個依據。
然而以上這些方式只能防御一些已知的攻擊,黑客也在不斷的進步,僅就它的一段代碼從特征上很難判斷。對于穿過WAF探針的流量,RASP探針會進行第三次檢測,對應用系統(tǒng)的流量,進行持續(xù)監(jiān)控,如果檢測到了,就會進行攔截。同時在這個虛擬安全域椒圖還加了一個WAF探針,思路就是在內部側面把外部中間件因為替換。在云端還有虛擬化的沙盒,可以通過檢測加密過這變形甚至未活動的,一旦在沙盒檢測到了,會返回到本地然后進行攔截,變成自適應的環(huán)境體系,整個過程不需要任何的人工干預。
責任編輯:王剛