[Nota del editor] ataques DDoS RDCC son muy comunes en los últimos años, muchos sitios de plataformas conocidas han encontrado. Cuando los actuales DDoS ataques a nivel de aplicaciones ya es el tipo más común de ataque, para los programadores, hay puntos que deben dominar conocimientos de los ataques DDoS, más importante, cómo llevar a cabo una práctica de defensa eficaz? En la "línea cumbre CSDN - Ali nube de tecnología de la base de la competitividad" en 14 años de experiencia en investigación en el campo de los sistemas, aplicaciones, seguridad de red de la nube Ali, expertos de alto nivel de seguridad para compartir las mejores prácticas de la nueva capa de aplicaciones ataques DDoS defensa de Ye Min profundidad , con la esperanza de inspirar y beneficio para todos los técnicos.
Copiar el enlace, o haga clic en "leer el texto original," maestro de Ye Min puede ver el intercambio de vídeo gratuito:
https://edu.csdn.net/course/play/28249/388361
Autor | Vosotros Min, un experto en seguridad de alto nivel Ali nube
Zebian | plomo TANG
Cabeza Figura | RDCC descarga de IC del Este
Exposición | RDCC (ID: CSDNnews)
En primer lugar, los DDoS capa de aplicación Ataques
Los ataques DDoS han azotado a las compañías de Internet, los ataques DDoS pico atacan a la vigilancia del tráfico desde nuestro punto de vista con el escudo nuboso, tráfico de ataques en los últimos años aumentó considerablemente a partir de 2014, se anunció mayores ataques DDoS defensa del mundo, 453.8Gbps, a ahora DDoS T-nivel se ha vuelto muy común.
Hay un gran flujo de ataques DDoS durante muchos años, aunque el tráfico de ataque ha sido cada vez mayor, pero poco cambio en el tipo de ataque, ha sido SYN Flood, UDP Flood, UDP se refleja principalmente un ataque. Para el ataque de alto volumen ha sido medio muy eficaz de defensa, ante la presencia de un equipo de seguridad ataques al tráfico de gran tamaño, como ser tragado por el agujero negro, la tasa de éxito es muy alta defensa, pero los piratas admitir la derrota, que son a este agujero negro se puso en marcha un nuevo reto.
Si el tráfico de ataque disfrazado de flujo normal de los negocios, a continuación, el equipo de seguridad y defensa es difícil distinguir los ataques al tráfico, por lo que puede atacar a través de material de defensa a la aplicación de back-end, que son los ataques DDoS de capa de aplicación, también llamada CC (Desafío Collapsar) ataque, es desafiar el significado de un agujero negro.
En segundo lugar, los ataques DDoS capa de aplicación
DDoS la capa de aplicaciones recientes años cada vez más favorecidos por los piratas informáticos, datos desde el punto de vista de los ataques DDoS capa de aplicación de monitoreo tienen el doble del crecimiento en 2019.
Además de la facilidad de derivación del dispositivo de defensa, hay otra razón importante es que DDoS la capa de aplicaciones ataques son más eficientes porque los ataques a nivel de aplicación han provocado una lógica de procesamiento de aplicación de capa superior, que puede tener una consulta de base de datos, llamadas a la API remotas, leer y archivos de escritura, incluso hay lógica de cálculo complejo, por lo que poner más presión sobre el servicio de tráfico va a terminar. Atacante selecta URL con una lógica compleja de ataque, que puede tener una tremenda presión sobre la aplicación o base de datos con poco tráfico. Atacante no necesita utilizar una gran cantidad de ancho de banda, incluso en el lado del servicio QPS sólo un ligero aumento, por lo que la detección y prevención se han vuelto más desafiante.
Los mayoría de los ataques DDoS son típicos manera botnets, los hackers el control de un gran número de titiritero (pollos de engorde o bot) para atacar el objetivo. Estos pueden ser el servidor maestro de marionetas, PC, teléfono móvil o dispositivos IO.
En los ataques DDoS la capa de aplicaciones, encontramos otro ataque colateral es también muy común, los piratas informáticos embebidos código JavaScript con el comportamiento agresivo en alguna página de Internet más populares, cuando los visitantes se abren estas páginas, el ciclo del navegador objetivo de ataque, un largo tiempo de permanencia en algunas páginas, como las novelas o sitio de la película pequeña, además de acceso sin parar a los nuevos usuarios, el ataque va a durar mucho tiempo. A pesar de que el hacker no controla los derechos de estos dispositivos, pero su uso del navegador del usuario normal éstos para alcanzar a gran escala a nivel de aplicaciones ataques DDoS.
mayor HTTP / HTTPS de contabilidad de servicios de Internet, por lo que para la capa de aplicaciones DDoS ataques protocolo HTTP / HTTPS es el más común, lo llamamos HTTP inundación. Aunque se trata de una petición HTTP, pero hay diferentes maneras a la dificultad de la defensa no son los mismos. Se analizó una gran cantidad de caballos de Troya DDoS, parte del contenido de mensajes HTTP empalme directo se envía al servidor, que suele ser relativamente simples métodos de ataque, y no consideró HTTP Cookies y saltar, pero no podemos ejecutar JavaScript.
Se encontró, además, que algunos troyanos uso actual de HTTP bibliotecas, soporte para el protocolo HTTP es mejor, en parte para apoyar HTTP Cookies y saltar, pero no el motor del navegador no puede ejecutar JavaScript.
Nos encontramos con un nuevo ataque con el motor del navegador, en realidad es un navegador sin ventanas, puede completar Cookie apoyo, HTTP salto y JavaScript. También se encontró que el ataque directo usando un navegador, hay software malicioso plataforma Windows Embedded control de IE, el control WebView incrustado aplicación móvil, los ejemplos mencionados delante de JavaScript, incluidos en el popular navegador web es atacado. Debido a que el tráfico de ataque en sí está a las peticiones del navegador iniciadas, por lo que este reconocimiento sea más difícil.
Otro DDoS la capa de aplicaciones ataques contra SSL, según las estadísticas más del 85% de la red mundial han permitido el protocolo HTTPS, por lo que un rango objetivo de ataque grande. Sabemos que es relativamente grande, se analizó la sobrecarga de establecer una conexión SSL, el establecimiento de los recursos informáticos de una conexión SSL para los consumos de servidores 15 veces el cliente, por lo que si un atacante para poner en marcha un gran número de SSL con el objetivo de protocolo de enlace de conexión del servidor, será en el blanco servidor tremenda presión rendimiento. También hay un desafío que sólo después de que el protocolo de enlace SSL se ha completado, el contenido de datos se transfiere la capa de aplicación, por lo que para detectar los ataques de los contenidos del paquete, no se aplica aquí.
Hablando frente a una gran cantidad de ataques con los protocolos HTTP / HTTPS relación de negocios, pero también hay una propiedad ataques DDoS protocolo de capa de aplicación, esto es común en muchos negocios juegos. Algunos brutal ataque después de establecer una conexión TCP, envía los datos de basura al azar, en general, el servidor encontró un conjunto de datos ilegales desconectar la conexión directa.
Pero también hay algunos atacante paciencia, la normalidad de captura de tráfico de negocios, el modo de reproducción y luego usar el objetivo de ataque, por un lado, es este flujo normal hará que la lógica de negocio servidor realizar más cálculos, tales como registro consulta los requisitos operativos de base de datos, lo que resulta en un mayor efecto del ataque, otro aspecto es difícil distinguir la reproducción normal con el flujo de zona de tráfico de usuario, existe un reto mayor a la detección y la prevención.
Se puede ver a partir de estos ataques, un DDoS la capa de aplicaciones ataques ya no es un simple y el impacto de grandes volúmenes de crudo, pero el atacante hacen a mano los paquetes, disfrazados de tráfico normal a la derivación del material de defensa, atacando a las aplicaciones y servicios de back-end.
En tercer lugar, a los programas de nivel de aplicación de defensa DDoS convencionales
La estrategia de defensa tradicional es la de limitar los visitantes frecuencia, IP de origen, la velocidad de precisión URL, intercepción de alta frecuencia. La mayoría de los productos de defensa CC ofrecen la funcionalidad de límite de velocidad para el usuario. Sin embargo, la frecuencia del límite de velocidad tiene muchos defectos, debido a las diferencias en los negocios muy diferentes de QPS, la política de límite de velocidad por defecto no se aplica a todos los escenarios, como se muestra a continuación, el primer diagrama de flujo, el flujo máximo de 200.000 QPS, mientras que el segundo un pico carta era 20.000 QPS, intuitivamente juzgar el segundo es un comportamiento agresivo, es evidente que estas dos empresas pueden tener la misma política de límite de velocidad.
Otro problema es que, cuando el sitio fue visitado por un gran número de interfaces frágiles para soportar los QPS es muy baja, no se aplican las políticas globales que limitan la velocidad. Brutal bloqueo de la IP también puede causar lesiones si una fuente IP IP más lista negra de poner el volumen de tráfico, es posible exportar NAT IP tirar del negro, en las grandes empresas, hay un ataque de la escuela puso toda la intercepción IP de exportación que afectará al usuario el acceso normal.
Así que hay capas de aplicaciones punto clave de la defensa DDoS es hacer una estrategia más refinada, muchos soportes de productos CC política de defensa definida por el usuario, los paquetes de datos especificados perdido. Para no HTTP protocolo, algunos productos permiten que el usuario configure paquete característica del protocolo HTTP de filtrado, la mayoría de los productos de seguridad ofrecen una combinación de configuración de usuario condición Intercepción de HTTP de cada dimensión. Pero la defensa DDoS es una carrera contra el tiempo, el análisis manual y las políticas de configuración hay un retraso grave. Además, dicha estrategia a es muy dependiente de la experiencia en seguridad, y el conocimiento del negocio.
Algunas soluciones de automatización son ampliamente utilizados, puede venir a través de una página en blanco y negro cuando se accede a un sitio web, los mejores consejos en hacer pruebas de seguridad, después de unos pocos segundos para saltar a la página de destino, esto se llama desafío JavaScript. El servidor devuelve al cliente una página de comprobación contiene código JavaScript dentro de la revisión del navegador, si el acceso a un navegador real y tiene un comportamiento normal del usuario, se puede comprobar a través. También tiene algunos inconvenientes, sólo está disponible en el sitio web, y si la interfaz API, este reto hará que la interrupción del negocio normal, el otro no se aplica a los no-protocolo HTTP.
modo de comprobación de hombre-máquina se utiliza también para la defensa DDoS capa de aplicación, incluyendo códigos gráficos o requiere que el usuario hace clic en el cheque de manera deslizante, aunque este enfoque utilizado en muchas escenas, pero muy experiencia del usuario, pero también es defectuoso, sólo para la web, no para la interfaz API y el protocolo no HTTP.
En cuarto lugar, el programa de defensa inteligente
1. La defensa en profundidad la arquitectura
Estos programas tienen algunas deficiencias, ningún programa uno puede resolver los ataques DDoS en todos los escenarios, así que hicimos una defensa en profundidad del programa en los últimos años, teniendo en cuenta una variedad de ataques, llevamos a cabo múltiples dimensiones análisis de tráfico y de defensa, incluyendo funciones de contenido de paquetes, el comportamiento de la visita, los retos del cliente y el límite de velocidad inteligente, que el gran número de aplicaciones del modelado analítico automatizado, bien a cada negocio, cada URL visitada análisis de referencia, que se encuentra automática excepción, y en base a las ventajas de la aplicación a gran escala de la tecnología de la información sobre amenazas Ali nube. Las siguientes cifras son la mayor parte de los nuevos medios de defensa de los ataques a nivel de aplicaciones de defensa DDoS diseñados.
2. El esquema adaptativo inteligente
¿Por qué necesitamos la adaptación?
Si la protección plantilla por defecto, o permitir a los usuarios configurar, no es una buena solución. Cuando un gran número de diferentes servicios, que tiene que ser un programa de adaptación analizar automáticamente la línea de base en circunstancias normales basados en el flujo de tráfico histórica, sobre la base de la línea de base para descubrir anomalías y bloquear una solicitud mal formada.
dificultades y desafíos adaptativos
Una dificultad: cómo caracterizar de forma automática negocio de línea de base, la historia y evitar interferencias atacar?
Por ejemplo, las siguientes cifras del primer Diagrama de flujo, podemos identificar automáticamente fuera de sus fluctuaciones cíclicas y generar su línea de base de frecuencia, aunque el pico de QPS muy alto, pero es coherente con la línea de base frecuencia histórica, hemos determinado que se trata de un comportamiento normal. El segundo gráfico, aunque el pico de CPE no es alto, pero no cumple con la línea de base histórica, se determina que hay un comportamiento agresivo.
Todo el proceso dura automáticamente en función de los datos, como en el caso en el que un gran número de diferentes servicios, anotación manual no es realista. Al mismo tiempo, en caso de ataque en la historia del sitio, pero los datos también necesita rechazan automáticamente los ataques, para evitar interferencias.
Dificultad 2: ¿Cómo ataque inusual en el primer tiempo y ser tratado?
Se encontró flujo anormal sólo el primer paso, lo más importante es identificar lo que el tráfico es inusual, y la estrategia de generación automática de bloquearlo. El flujo de cada negocio es diferente, siempre cambiante ataque, obviamente, no puede utilizar una función fija para distinguir el tráfico de ataque y el tráfico normal. Del mismo modo, para encontrar la clave para el tráfico de ataque es conocer las miradas de tráfico normales como, que a partir de las dimensiones docenas, el aprendizaje en el negocio cuando el flujo normal de los retratos de línea de base, bien a cada nombre de dominio, por puerto, por URL , también mil mil caras. Cuando se produjo el ataque, el motor de análisis de tráfico puede comparar el flujo de la línea de base actual y bloquear automáticamente los ataques estrategias de generación de tráfico.
3. reducción de dimensionalidad defensa sinérgica contra
Ali nube de nuestra defensa cada ataque masivo día, cada defensa es salida puede utilizarse para proteger la información más valiosa de otros clientes.
Al igual que el sistema inmunológico, un cliente sufrió un tipo de ataque, el cual entrará en el sistema de inteligencia caso de amenaza para analizar automáticamente los métodos de ataque y atacar las fuentes que presentan IP, y genera programas dirigidos multidimensionales. La próxima vez que se produce un ataque tal, todos los clientes se pueden proteger.
En quinto lugar, el desarrollo de DDoS la capa de aplicaciones ataque y defensa
DDoS defensa necesidad de carrera contra el tiempo, puede ayunar durante unos minutos, la interrupción del negocio frenar minutos, todo el sistema de defensa durante el tiempo suficiente en tiempo real. El tráfico en la adquisición, el análisis y la interceptación en tiempo real se debe hacer, especialmente cuando se ataca a gran caudal, análisis en tiempo real tiene un reto importante para el rendimiento de todo el enlace. Para hacerlo lo suficientemente rápido, el análisis manual es sin duda demasiado tarde, debe ser suficiente automatización, inteligente, calculado por la línea de base línea retrato, más inteligente estrategia en tiempo real, que ahora realizan más de 95% de los ataques DDoS a nivel de aplicaciones puede 3 minutos de defensa automática es exitosa, se reanudará el negocio, porque toda la longitud del enlace y el análisis de decisión, que todavía tiene un gran margen de mejora.
DDoS la capa de aplicaciones que hay muchos retos que nos esperan a resolver, el problema es uno de homicidio, cuando hay promociones comerciales, actividad pico, dentro de una oleada de tiempo corto de tráfico, algunas escenas de Spike centralizan el acceso a un gran número de página IP, y los negocios, incluso normal en esta época se ha visto afectada, la respuesta del servidor es demasiado lento, esta vez relacionado con diversas dimensiones de la línea de base normal de correlación es muy grande, sistema de detección de ataques puede confundirse fácilmente con tales ataques DDoS conducta.
Otro problema es que el sistema de defensa es muy dependiente del retrato de línea de base de hacer estrategia de defensa negocio, si un nuevo negocio de línea a atacar, o sistema de defensa solo acceso de las empresas, el sistema de defensa en este momento no se encuentra el retrato de la empresa, no lo sabía normales el tráfico es lo que se ve comprometida la defensa. Otro problema ocurrido muchas veces, en algunos clientes de negocios tienen la lógica, los errores de lógica de reconexión o después de la retransmisión, si la lógica de cliente está configurado de forma incorrecta, el servidor cuando se produce una excepción reconexión constante o retransmisión, también fácilmente confundido con el comportamiento agresivo, lo que lleva a la IP ser prohibido. La defensa contra estos defectos, también estamos diseñando nuevas soluciones técnicas, incluyendo el acceso a la fuente, la puntuación de crédito del cliente, minimizar el homicidio para los usuarios normales.
Desde una perspectiva histórica del desarrollo, ataque DDoS y tecnología de defensa ha estado en desarrollo, pero nunca de ataque y defensa, que es parte del dominio absoluto de los dos lados de la tecnología siempre está subiendo en espiral. Mientras que hay interés, los hackers siguen desafiando a nuestros programas de defensa, aunque hoy hemos hecho una gran cantidad de innovación tecnológica de la defensa, pero un pie, la ley es fuerte, ataques de piratas informáticos se estudian nuevas tecnologías para eludir nuestros sistemas de defensa, de ataque simple, brutal a la multa, una dirección inteligente, lo que nos obliga por lo tanto a la investigación de nuevas tecnologías de defensa, tecnología de defensa y ataques futuros podrían pasar a un nuevo nivel.
Sobre el autor: Vosotros Min, un experto en seguridad de alto nivel nube Ali, de 14 años de experiencia en investigación en sistemas, aplicaciones, seguridad de red, anti-phishing Ali, escudo nuboso contra la intrusión, los productos de seguridad de red, el director técnico, tiene una gran cantidad de aspectos ofensivos y defensivos de seguridad de la red experiencia, su principal construcción de una serie de tecnologías de seguridad para proteger la aliyun un millón de clientes.
【FIN】
Como parte importante "de millones de personas aprender AI" está, 2020 AIProCon Conferencia de Desarrolladores estará millones en junio 26 formularios en línea en vivo, por lo que los desarrolladores una ventanilla para aprender sobre la tecnología actual investigación de vanguardia AI, la tecnología de núcleo y aplicaciones, así como la experiencia práctica en el caso de negocios, pero también pueden participar en una variedad de emocionantes desarrolladores en línea Sharon y proyectos de programación. Serie A involucradas potenciales de las actividades, la interacción en línea en vivo, no sólo se pueden comunicar con decenas de miles de desarrolladores, así como la oportunidad de ganar regalos exclusivas en vivo, café e incluso grandes trigo tecnología.
Comentarios se seleccionó libro de invitados, obtener el valor de 299 yuanes, "2.020 millones de personas desarrolladores AI congreso" billete en línea en vivo. Ven yemas de los dedos, escribe lo que quiere decir que!
lectura recomendada
☞ adquisición de una empresa de Microsoft es una persona? programa de Sony para crack, los piratas informáticos escribir novelas, observando su vida robusto programa!
☞ UAV china Memorias "viejo cañón niño"
☞ 4 años 46 edición, el artículo se lee la historia de la nube de Primavera
☞ capacidades técnicas de IA Jingdong Mall, detrás Secreto - basan en palabras clave de resumen generada automáticamente
☞ padre de Internet confirmó la nueva corona, legendaria: ya sea vicepresidente de Google, el acceso científicos de la NASA
☞ nunca ha sido más fácil: contragolpe a 10 minutos Kafka!
☞ no era de código, el programador cómo mantener sus puestos de trabajo?
