流量清洗是指在全部的网络流量中区分出正常流量和恶意流量,高防服务器将恶意流量阻断和丢弃,而只将正常的流量交付给服务器。
与其他的网络安全检测和防护手段类似,流量清洗也需要考虑漏报率和误报率的问題。通常,漏报率和误报率是一对抵触,需要通过对检测和防护规矩的调剂来进行平衡。
如果流量淸洗的漏报率太高,就会有大批的攻击恳求穿透流量淸洗设备,如果无法有效地减少攻击流量,也就达不到减轻服务器压力的效果(见图1)。
相反,如果误报率太高,就会涌现大批的正常恳求在清洗过程中被中断,严重影响正常的服务和业务运行(见图2)。
优良的流量淸洗设备,应当能够同时将误报率和漏报率降低到可以吸收的程度,这样就能够在不影响网络或业务系统正常运行的情况下,最大限度地将恶意攻击流量从全部网络流量中去除。要达到这个目标,需要同时应用多种正确而高效的清洗技巧,这些技巧包含:IP信用检查、攻击特点匹配、速度检查与限制、TCP代理和验证等等。
1、IP信用检查
IP信用检查底本是用于辨认和反抗垃圾邮件的一种技巧,不过这种技巧也可以用来在网络层进行流量清洗。
IP信用机制是指为互联网上的IP地址赋予必定的信用值,那些过去或现在经常被作为儡尸主机发送拉圾邮件或发动拒绝服务攻击的IP地址会被赋予较低的信用值,阐明这些P地址更有可能成为网络攻击的起源。
当产生散布式拒绝服务攻击时,流量淸洗设备会对通过的网络流量进行P信用检査,在其内部的IP地址信用库中查找每一个数据包起源的信用值,并会优先丢弃信值低的P地址所发来的数据包或建立的会话连接,以此保证信用高的IP地址与服务器的正常通信。
IP信检壹的极端情况就是IP黑名单机制,即如果数据包的起源存在于黑名单之中,则不进行任何处理,直接丢弃该数据包。这种方法一般会造成较多的误报,影响正常服务的运行。
2、攻击特点匹配
在大多数情况下,发动散布式拒绝服务攻击需要借助攻击工具。为了进步发送恳求的效率,攻击工具发出的数据包通常是由编写者捏造并固化到工具当中的,而不是在交互过程中产生的,因此一种攻击工具所发出的数据包裁荷会具有一些特点。
量清洗设备可以将这些数据包戴荷中的特点作为指纹,来辨认工具发出的攻击流量。指纹辨认可以分为静态指纹辨认和动态指纹辨认两种静态指纹辨认是指预先将多种攻击工具的指纹特点保存在流暈淸洗设备内部,设备将经过的网络数据包与内部的特点库进行比对,直接丢奔符合特点的数据包;动态指纹辨认则需要清洗设备对流过的网络数据包进行学习,在学习到若千个数据包的载荷部分之后,将其指纹特点记载下来,后中这些指纹特点的数据包会被丢弃,而长期不被命中的指纹特点会逐渐老化直至消散。
3、速度检査与限制
一些攻击方法在数据包載荷上可能并不存在明显的特点,没有措施进行攻击特点匹配,但却在恳求数据包发送的频率和速度上有着明显的异常。这些攻击方法可以通过速度检查与限制来进行清洗。
例如,在受到 TEC SSL DOS攻击时,会在同一个SSL会话中多次进行加密密钥的重协商,而正常情况下是不会重复重协商加密密钥的。因此,当流量清洗设备进行统计时,如果创造SSL会话中密钥重协商的次数超过了特定的值,就可以直接中断这个会话并把起源参加黑名单中。
再如,在受到 Slowloris和慢速POST恳求攻击时,客户端和服务器之间会以非常低的速率进行交互和数据传输。流量淸洗设备在创造HTT的恳求长时间没有完成传输时,就可以将会话中断。
此外,对于UDP洪水攻击等一些没有明显特点、仅通过大流量进行攻击的方法,可以通过限制流速的方法对其进行缓解。
4、TCP代理和验证
SYN洪水攻击等攻击方法都是利用TCP协议的弱点,将被攻击目标的接表占满,使其无法创立新的连接而达到拒绝服务攻击的目标。流量清先设备可以通过TCP代理和验证的方法来缓解这种攻击造成的迫害。
在一个 TCP SYN恳求达到流量清洗设备后,设备并不将它交给后面的服务器,而是直接回复一个SYN+ACK响应,并等候客户端回复。
如果SYN恳求来自合法的用户,那么他会对SYN+ACK进行响应,这时流量清洗设备会代替用户与其掩护的服务器建立起TCP连接,并将这个连接参加信任列表当中(见图3)。之后,合法的用户和服务器之间就可以透过流量清洗设备,进行正常数据通信。对于用户来说全部过程是完整透明的,正常的交互没有受到任何影响。
而如果这个SYN恳求来自攻击者,那么他通常不会对SYN+ACK进行应答,从而形成半开连接。这样流暈淸洗设备会暂时保存这个半开连接,并在经过短暂的超时时间之后丢弃这个连接(见图4)。
相比于所掩护的服务器,流量清洗设备对连接表操作进行了专门优化,能够处理极其宏大的连接恳求数量,因此即使有非常多的SYN恳求同时涌向清洗设备,清洗设备也能够处理。在这个过程中,由于清洗设备拦載在被掩护的服务器之前,服务器并没有耗费任何的连接资源,因此保证了服务器的性能不受影响。
流量清洗设备在作为TCP代理进行防护时,除了拦載半开连接外,还可以进行TCP协议的一些交互式验证。例如,在收到第一个SYN恳求时,通过直接丢弃、发送RST包或发送毛病序列号的ACK包的方法来中断连接过程,并检查客户端是不是重新发起连接恳求。通过这种验证,也可以辨认并丢奔许多不合法的连接。
TikTok千粉号购买平台:https://tiktokusername.com/
TOP