我的网站被攻击了怎么防护?
“我的网站被攻击了,该怎么办”,今天一个用户因为网站遭受攻击无法访问而找到德迅云安全这样讲到。那么遇到网站被攻击时应该怎么处理?下面我们就来说下遇到这类攻击情况,有哪些思路方案可以去解决网站被攻击的问题。
首先,遇到攻击时,我们可以先分析一下黑客攻击的攻击方式,常见的攻击一种是来源于流量型的DDOS攻击,通过消耗目标服务器带宽、占用主机资源为主的攻击。当前网站被DDOS攻击的主要攻击方式是CC攻击,那么什么是CC攻击,遇到攻击后应该怎么去处理呢?
CC攻击的原理及特点:
HTTP Flood 俗称CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击方法。是针对 Web 服务在第七层协议发起的攻击。攻击者相较其他三层和四层,并不需要控制大量的肉鸡,取而代之的是通过端口扫描程序在互联网上寻找匿名的 HTTP 代理或者 SOCKS 代理,攻击者通过匿名代理对攻击目标发起HTTP 请求。匿名代理服务器在互联网上广泛存在。因此攻击容易发起而且可以保持长期高强度的持续攻击,同样可以隐藏攻击者来源避免被追查。
攻击的特点:
HTTP/CC 攻击的 ip 都是真实的,分散的
HTTP/CC 攻击的数据包都是正常的数据包
HTTP/CC 攻击的请求都是有效请求,且无法拒绝
HTTP/CC 攻击的是网页,服务器可以连接,ping 也没问题,但是网页就是访问不了
CC攻击是如何造成大的危害:
Web 服务与 DNS 服务类似,也存在缓存机制。如果攻击者的大量请求命中了服务器缓存,那么这种攻击的主要作用仅体现在消耗网络带宽资源上,对于计算和 IO 资源的消耗是非常有限的。因此,高效的 HTTP/CC 攻击 应不断发出针对不同资源和页面的 HTTP 请求,并尽可能请求无法被缓存的资源( 如关键词搜索结果、用户相关资料等 ),这样才能更好的加重服务器的负担,达到理想的攻击效果。当然 HTTP/CC 攻击 也会引起严重的连锁反应,不仅仅是直接导致被攻击的 Web 前端响应缓慢,还间接攻击到后端的 Java 等业务层逻辑以及更后端的数据库服务,增大它们的压力,HTTP/CC 攻击 产生的海量日志数据甚至会对日志存储服务器都带来影响。
如果 Web 服务器是使用 HTTPS,那么 HTTPS CC攻击则是更难处理威胁更大的一种攻击方式。主要是在进行 HTTPS 通信时,Web 服务器需要消耗更多的资源用来认证和加解密,而且HTTPS都是加密数据,目前一部分防护设备也无法对 HTTPS 通信数据流进行解密处理,无法区分正常用户和恶意流量,处理难度更高。
网站正在遭受CC攻击,那如何进行有效的防范呢?
HTTP/CC 攻击 防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。当高级攻击者穿透缓存时,清洗设备会截获 HTTP 请求做特殊处理。因为CC攻击通过工具软件发起,而普通用户通过浏览器访问,这其中就会有某些区别。想办法对这二者作出判断,选择性的屏蔽来自机器的流量即可。下面介绍几种防护CC的思路方法:
一、普通浏览器发起请求时,除了要访问的地址以外,Http头中还会带有Referer,UserAgent等多项信息。遇到攻击时可以通过日志查看访问信息,看攻击的流量是否有明显特征,比如固定的Referer或UserAgent,如果能找到特征,就可以直接屏蔽掉了。
二、如果攻击者伪造了Referer和UserAgent等信息,那就需要从其他地方入手。攻击软件一般来说功能都比较简单,只有固定的发包功能,而浏览器会完整的支持Http协议,我们可以利用这一点来进行防御。
首先为每个访问者定义一个字符串,保存在Cookies中作为Token,必须要带有正确的Token才可以访问后端服务。当用户第一次访问时,会检测到用户的Cookies里面并没有这个Token,则返回一个302重定向,目标地址为当前页面,同时在返回的Http头中加入set cookies字段,对Cookies进行设置,使用户带有这个Token。
客户端如果是一个正常的浏览器,那么就会支持http头中的set cookie和302重定向指令,将带上正确的Token再次访问页面,这时候后台检测到正确的Token,就会放行,这之后用户的Http请求都会带有这个Token,所以并不会受到阻拦。
客户端如果是CC软件,那么一般不会支持这些指令,那么就会一直被拦在最外层,并不会对服务器内部造成压力。
三、更有技术一些的,还可以返回一个网页,在页面中嵌入JavaScript来设置Cookies并跳转,这样被伪造请求的可能性更小
Token生成算法:Token需要满足以下几点要求
每个IP地址的Token不同
无法伪造
一致性,即对相同的客户端,每次生成的Token相同
Token随IP地址变化是为了防止通过一台机器获取Token之后,再通过代理服务区进行攻击。一致性则是为了避免在服务器端需要存储已经生成的Token。
推荐使用以下算法生成Token,其中Key为服务器独有的保密字符串,这个算法生成的Token可以满足以上这些要求:
Token = Hash( UserAgent + client_ip + key )
四、最简单的,接入安全云防护产品(有百度云加速、德迅云安全加速SCDN等),用于隐藏服务器真实IP,域名解析使用SCDN的IP,所有需要防护的域名,都解析到SCDN的Cname。
只要服务器的真实IP不泄露,攻击都是引流到SCDN高防节点进行拦截处理,解决因网站被攻击造成服务器故障,而导致的网站业务响应缓慢或是无法正常提供服务的问题。
由于 HTTP/CC 攻击 的伪装方式千变万化,不同用户可能业务情况也会有所不同。所以,针对 HTTP/CC 攻击,我们需要和具备专业技术能力的网络安全人员进行安全合作,选择合适的解决方案来处理面临的网络安全问题。
- 点赞
- 收藏
- 关注作者
评论(0)