日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
對(duì)抗模擬瀏覽器的DDoS攻擊

收藏該文基于瀏覽器的僵尸網(wǎng)絡(luò)就是DDoS世界里的T-1000s。他們之所以如此危險(xiǎn)是因?yàn)樗麄兙透K結(jié)者里的反派一樣,被設(shè)計(jì)的可以適應(yīng)各種情況的攻擊。當(dāng)其他原始的網(wǎng)絡(luò)僵尸還在暴力破解你的防御的時(shí)候,基于瀏覽器的僵尸就已經(jīng)模擬真實(shí)的人類從前門進(jìn)入了。

當(dāng)你意識(shí)到情況不對(duì)時(shí),他們已經(jīng)突破邊界,搞宕服務(wù)器,已經(jīng)無(wú)力回天了。

那么應(yīng)該怎么防御T-1000呢,怎么分辨一次訪問是來(lái)自與真實(shí)的瀏覽器還是一個(gè)基于瀏覽器的僵尸?傳統(tǒng)的過(guò)濾僵尸的策略在面對(duì)能夠保存cookie和執(zhí)行javascript的僵尸時(shí)都失效了。而不分青紅皂白地讓所有用戶都填寫驗(yàn)證碼無(wú)異于自我毀滅,尤其是當(dāng)這種攻擊可能持續(xù)數(shù)個(gè)星期的時(shí)候。

為了研究防御方法,我們來(lái)看一個(gè)真實(shí)的案例:

這次攻擊是一個(gè)未知的僵尸網(wǎng)絡(luò)發(fā)起的。這些基于瀏覽器的僵尸可以保存cookie,執(zhí)行javascript。攻擊的早期我們識(shí)別出是PhantomJS無(wú)界面瀏覽器。

PhanomJS是一套開發(fā)無(wú)界面瀏覽器的工具。它提供所有瀏覽器的功能但是沒有界面,沒有按鈕,沒有地址欄。一般被用在自動(dòng)化測(cè)試和網(wǎng)絡(luò)監(jiān)控上。

這次攻擊持續(xù)了150個(gè)小時(shí)以上。這個(gè)過(guò)程中,我們記錄了全球超過(guò)180000個(gè)惡意IP。高峰期每秒6000次攻擊,平均一天有690000000次以上。攻擊IP的數(shù)量和分布范圍讓我們覺得這應(yīng)該不僅僅是一個(gè)僵尸網(wǎng)絡(luò),而是可能整合了多個(gè)。下圖是攻擊ip的地理分布。

攻擊過(guò)程中我們截獲了861個(gè)不同的user-agent。攻擊者修改了頭部的結(jié)構(gòu)試圖繞過(guò)我們的防御。

下圖是攻擊最多的ip:

有趣的是攻擊者除了使用模擬瀏覽器的僵尸,還試圖模擬人類的行為來(lái)躲避基于行為檢測(cè)的安全規(guī)則。這些僵尸會(huì)先訪問不同的頁(yè)面,然后像人類那樣訪問一些隨機(jī)的頁(yè)面,最后才會(huì)聚集在一起消耗資源。

盡管基于瀏覽器的僵尸能夠突破傳統(tǒng)的過(guò)濾。但是由于它使用了一個(gè)已知的無(wú)界面瀏覽器,這樣子就可以通過(guò)我們的客戶端分類機(jī)制檢測(cè)到。

我們的客戶端分類機(jī)制基于我們已經(jīng)收集的大量信息總結(jié)出來(lái)的簽名。發(fā)生這次攻擊的時(shí)候,我們的信息庫(kù)已經(jīng)有超過(guò)10000000個(gè)簽名。每一個(gè)簽名都包括:

User-agent

IPs and ASN info

HTTP Headers

JavaScript footprint

Cookie/Protocol support variations

我們不僅僅收集一些明顯的信息,比如user-agent,還收集一些瀏覽器之間復(fù)雜的細(xì)微差別。安全的對(duì)抗是封閉的,所以不說(shuō)一些技術(shù)細(xì)節(jié)的話很難把這個(gè)機(jī)制解釋清楚。稍微說(shuō)一點(diǎn),我們會(huì)尋找瀏覽器處理編碼方面細(xì)微的差別,比如,我們通過(guò)瀏覽器處理HTTP頭里兩次空格和特殊字符來(lái)區(qū)別不同的瀏覽器。

所以我們的數(shù)據(jù)庫(kù)里有成千上萬(wàn)個(gè)已知的瀏覽器和僵尸簽名,覆蓋各種場(chǎng)景。在這個(gè)案例中,攻擊者的武器PhantomJS webkit當(dāng)然也是我們簽名庫(kù)中的一個(gè)。

當(dāng)攻擊者在規(guī)劃如何讓他的僵尸看起來(lái)更像人類的時(shí)候,我們的團(tuán)隊(duì)必須做的就是讓我們的系統(tǒng)發(fā)現(xiàn)攻擊者用的無(wú)界面瀏覽器是哪一種。之后我們做的就是簡(jiǎn)單的屏蔽了所有的PhantomJS的實(shí)例。我們甚至留了一個(gè)備選,讓用戶填一個(gè)驗(yàn)證碼,以免屏蔽掉了真正的人類訪問。

不出意料的,沒有驗(yàn)證碼被填寫。

幾天之后,當(dāng)我們已經(jīng)完全依靠機(jī)器識(shí)別,不需要人工干預(yù)了。攻擊者依然在使用新的user-agent和新的ip試圖繞過(guò)防御。但是所有殘忍的T-1000s都已經(jīng)被我們冰凍起來(lái)了。他們使用的方法,簽名,模式都已經(jīng)被記錄下來(lái)作為將來(lái)的參考。

原文地址:http://thehackernews.com/2013/11/ddos-attack-from-browser-based-botnets.html


文章標(biāo)題:對(duì)抗模擬瀏覽器的DDoS攻擊
轉(zhuǎn)載源于:http://www.5511xx.com/article/dhsieis.html