目录
一、业务中断的主要原因
1、网络攻击:网络的每一层都可能称为攻击者的切入点,非应用层的攻击可能导致基础网络不可用,例如DDOS、DOS可以让企业网络出口等于几乎不可用状态,针对应用层的CC攻击可以让服务器无法正常对外提供服务,无论针对哪一层的攻击行为,都可能导致客户的业务中断,无法正常运行。
网络攻击的分类:
(1)流量型攻击:如DDOS、DOS,使用大量流量或应用层连接造成业务不可用。从攻击层面可以分为网络层和应用层,通过构造大量的报文造成接口流量拥塞、设备卡顿,从未导致正 常业务无法得到及时处理的问题,借此来中断业务。
网络层:例如:TCP flood、UDP flood、ICMP flood
应用层:例如:HTTP flood、HTTPS flood、DNS flood、SIP flood。
(1-1)TCP flood: 攻击者首先伪造地址对服务器发起SYN请求,服务器收到报文,则回应一个ACK + SYN消息,而此时真实的IP 并没有发起请求,所以不做回应,服务器没有收到回应则会重试3-5次,并且等待一个SYN time(30秒-2分钟) 后,丢弃这个连接。如果攻击者大量发送伪造的攻击报文,服务器端将消耗非常多的资源来处理这种非法的请求的 半连接。将消耗cpu和内存资源。进而可以导致服务器无法处理正常的业务请求。
(1-2)UDP flood:攻击者向服务发送大量的UDP协议数据包,导致服务器的带宽和系统资源耗 尽、无法为正常业务提供服务。比较常见的是攻击者利用大量UDP的小包来冲击DNS服务器或 RADIUS认证服务器、流媒体的视频服务器等,UDP flood攻击包括大包和小包两种攻击方式。
(1-3)ICMP flood :攻击者使用工具发送大量的伪造的IP的ICMP报文,造成服务器带宽、资源被大量 占用,给服务器带来较大的负载,影响服务器的正常服务,由于目前很多防火墙直接过滤ICMP报文,因此ICMP flood攻击出现的频率比较低
(1-4)HTTP flood: 常见的http flood攻击类型分为 http get flood和http post flood,是指利用应用层HTTP协议,向服务器发送 海量的http请求,进而造成服务器繁忙和资源耗尽,无法正常提供服务 。 HTTPs flood 与HTTP flood类似,只是基于HTTPs进行的攻击。
(1-5)DNS flood :分为DNS query flood 和DNS reply flood两种。
(2)单包攻击:一般都是以个人为单位的黑客发动的,攻击报文也比较单 一,虽然攻击的破环型强,但是只要掌握了攻击的特征,防御起来还是比较容易的。 扫描窥探攻击:例如:IP地址扫描、端口扫面 畸形报文攻击:smurf、land、ip分片、ip欺骗、tcp报文标志位、ping of death 、teardrop等 特殊报文攻击:超大的ICMP报文攻击、ICMP的重定向攻击、ICMP不可达攻击、待路由标记项的IP报文攻 击、tracert报文攻击、带时间戳选项的IP报文攻击等
(2-1)畸形报文攻击: 通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。 通过向目标主机发送有缺陷的IP报文,使得目标主机在处理这样的报文时发生错误,或者造成系统崩溃,影响 目标系统的正常运行。
(2-2)扫描类型的攻击: 是一种潜在的攻击行为,并不具备直接破坏行为,通常是攻击者发动真正攻击前的网络探测行为。 利用ping扫面(包括ICMP和TCP)来表示网络中存活的系统,从而准确定位潜在的目标,利用tcp和udp端口 扫描,就能检测出操作系统和监听这的潜在服务,攻击者通过扫描窥探就能大致了解目标系统提供的服务类型和潜 在的安全漏洞,为进一步侵入系统做好了准备。
(2-3)特殊的控制报文攻击: 也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通常是通过发送特殊的控制报文探测网络结构,进 而为后续真正发起攻击做好了准备。 攻击者一般是利用发送合法的报文进行侦察和数据检测,这些报文都是合法的报文类型,只是在网络中很少使 用。
2、漏洞:没有及时修补的漏洞、0Day(0day漏洞是指负责应用程序的程序员或供应商位置的软件缺陷),都使得企业的业务运行在不安全的环境中,利用漏洞的攻击可以让黑户非法窃取数据、造成业务中断、数据丢失等。
3、病毒:以勒索病毒(永恒之蓝)为代表的病毒,病毒在很多方面都可以导致系统的业务不可用,服务器的资源占用率高、数据被删除、数据被加密。
二、攻击防范
部署防火强、antiddos等安全产品
1.内网防护: 1、安全组:主要防护对象是弹性云服务器本身 2、网络acl:防护对象为vpc的子网 二、内外网边界防护
2.内外网边界防护 vNGFW
3.外网边界防护 1、部署DDOS高防 2、Anti-DDOS流量清洗设备
三、漏洞防范
漏洞的防御 针对web安全的防御主要可以分为以下两个方面:
1、用户侧:在用户侧通过限制用户可访问的web站点类型,限制恶意站点,从而达到防御web攻击的目的
2、站点侧:在站点上规范开发,开发时从语言编写层面防御针对web攻击,让攻击行为无法执行