2017年11月15日,GFIC-2017亞太CDN年會在上海隆重召開,大會聚焦“高清云、高防云、視頻云”。會議進入第二天,北京椒圖科技副總裁李棟先生發表了題為《基于web服務器自適應插件的cc防御技術》的演講,現場分享了椒圖科技應對CC攻擊如何防御,進而保證應用的高可用性與可靠性。
四種方式 應對cc攻擊
在演講中,李棟指出,與DDoS攻擊不同,CC攻擊主要是對服務器的內存等占用,CC攻擊的攻擊原理比較簡單,通過用一個IP向服務器發起數據庫請求,在短時間內占用大量的CPU包括內存的資源。常規的防CC攻擊有四種,一個是硬件WAF,它現在是大企業的標配,優點是部署非常方便,本身是用硬件方式交付,吞吐量比較高,但缺點是價格昂貴,對于中小企業來說應該是難以負擔的。另外,硬件WAF需要明確的網絡邊界,不適合云環境。椒圖之前遇到一個用戶購買大量的硬件,在把業務遷移到云上,又重新數據庫,過濾之后再接到里面,這種做法效率比較低。
第二個是云WAF。云WAF的優點分發比較快,部署方便,只需要修改解析就可完成接入,也可以隱藏服務器的真實IP,降低被攻擊的風險,在保護網站的同時,還可以充當CDN使用,加快網站訪問速度。但缺點是容易被繞過,數據安全性能也不夠高。
第三是手工cc加固。手工cc加固一方面從歷史日志來區分攻擊者與正常訪客,由于CC攻擊是抓取一個地址,因此可以從日志里面抓取一個看是CC訪問還是正常訪問,如果是CC訪問就直接屏蔽。另一方面是網站內容靜態化, 把能做成靜態頁面的盡量不要動態化。目前網易、新浪、搜狐等門戶網站已完成大部分頁面的靜態化。一個靜態頁面不需要服務器多少資源,甚至可以直接從內存中讀出來發給用戶。李棟表示,到目前為止,HTML未出現過溢出漏洞。然而手工加固缺點非常明顯,需要耗費大量的人工,不停去做靜態化。
李棟表示,以上幾種方式都需要硬件、軟件還有人工,第四種方式是在web中間件自適應過濾插件。采用云鎖在WEB中間件中插入過濾插件(WAF探針)的方式,通過多維度防護規則有效防御已知安全漏洞攻擊。這樣的好處是因為WEB是可以適應云、物理,混合等復雜環境,也可以自適應調整業務吞吐量,所有數據信息保存在本地。缺點是需要在每個操作系統上單獨部署,需要調試與操作系統、其他應用的兼容性,保證高可用性與高可靠性。
虛擬化架構 保證高可用性
在如何保證高可用性上,李棟指出,椒圖科技目前實現了對一些虛擬化架構有比較好的支持,全面支持共有云及私有云,混合云,跨系統版本、物理架構管理減少資源占用,內存占用25到50M之間,也采取業務有限原則,不依賴系統。在操作系統兼容性上,椒圖現在實現了2003版本以上的支持。運維軟件上,椒圖既有一些大版本的支持,也有小版本的支持。
椒圖抗CC攻擊產品有三重模式,第一種模式是計數,通過看請求次數,用戶可以根據業務的實際情況進行一個調整,然后中間是一個反向驗證,這個是高低模式,比較常用的模式。當CC攻擊發生之后,會有一個攻擊溯源,即攻擊發起包括攻擊的頁面,給使用者一個修復漏洞一個依據。
然而以上這些方式只能防御一些已知的攻擊,黑客也在不斷的進步,僅就它的一段代碼從特征上很難判斷。對于穿過WAF探針的流量,RASP探針會進行第三次檢測,對應用系統的流量,進行持續監控,如果檢測到了,就會進行攔截。同時在這個虛擬安全域椒圖還加了一個WAF探針,思路就是在內部側面把外部中間件因為替換。在云端還有虛擬化的沙盒,可以通過檢測加密過這變形甚至未活動的,一旦在沙盒檢測到了,會返回到本地然后進行攔截,變成自適應的環境體系,整個過程不需要任何的人工干預。
責任編輯:王剛