什么是 HTTPS 泛洪攻击?最近很多人都在谈论它?HTTPS 泛洪攻击是通过 HTTP 通信利用 SSL/TLS 协议的 DDoS 攻击的通用名称,也就是 “加密网络攻击”。根据恒创科技 2018-2019 香港地区应用和网络安全统计,加密网络攻击已成为 2018 年最常见的应用层攻击形式之一。
网络(Web)服务器在当前的互联网应用中担当着极为重要的角色,例如提供网页浏览、电子邮件收发、资源下载等服务,这些服务通常建立在HTTP协议基础上。在开放的网络环境下,Web服务器很容易受到HTTP Flood攻击,这是一种拒绝服务(DOS :Denial ofService)攻击,即攻击者利用大量的服务请求或系统漏洞来占用服务资源,致使服务器超载,无法响应其它正常用户的请求的攻击方式。HTTP Flood攻击主要针对部署在Web服务器上使用ASP、 JSP、PHP等语言并调用MsSQL、MySQL、Oracle等数据库的动态网页系统而设计,其特征是通过僵尸网络或攻击工具与Web服务器建立正常的TCP连接,并不断向脚本程序提交查询、列表等大量耗费数据库资源的调用。 一但Web服务器受到HTTP Flood攻击,将严重影响正常用户的Web访问。由于HTTP Flood属于应用层攻击,常常可以绕过普通的防火墙防护。
一、加密的好处
我们都知道,目前几乎所有地方都在使用加密技术,全球超过 70%的网页通过 HTTPS 加载。加密让我们在访问和使用网站服务时享受到许多好处:我们可以安全地将我们的私人凭证发送到银行,在天猫、京东上轻松购物,而无需担心我们的信用卡详细信息是否会被截获,我们可以安全地发送文件并安全地传输文件信息。
基本上,通过使用更加技术术语的加密或 SSL/TLS,我们享受真实性(例如知道流量的来源),完整性(例如知道没有人篡改两个端点之间的数据)。当然,由于加密能够将数据转换为密文(它使用对称和非对称密钥交换),保密性。
二、加密技术被用于 DDoS 攻击
实际上,数据加密为数据传输提供了巨大的力量,但美中不足。要实现完美的加密访问和传输,比不加密需要更多的系统资源。这一特征,被黑客和网络罪犯应用于希望造成严重破坏的攻击行为。
当涉及目标服务器或企业服务器时,SSL/TLS 连接需要更多的分配资源,确切地说是比发起请求主机的 15 倍。换句话说,如果一个黑客组织知道如何操纵其中固有的协议和漏洞,它们可能会通过运行强大的加密 DDoS 攻击来对目标服务器造成重大损害。
现在,对于希望防范 HTTPS DDoS 攻击的企业,只有一个选项:他们必须使用可以检测和缓解 HTTPS DDoS 攻击的专用、复杂设备来保护其网络和基础架构。
三、有效的 HTTPS 加密网络攻击防御办法,目前有使用以下两种技术来防范HTTP Flood攻击
1.HTTP连接统计防范技术 防火墙统计客户端和服务器通信的每个源地址的并发连接数或者新建连接数,当发现某个源地址的连接数统计值超过预置的警戒值时,则切断该源到被保护服务器的所有HTTP流量。本发明的发明人在研究此方案的过程中发现,对于僵尸网络等分散源的分布式拒绝服务攻击(DD0S distributed Denialof Service),由于每个源的HTTP连接速率并不高,甚至低于正常用户连接的速率,该方案通过连接数统计很难判断出是否异常,如果阈值配置不当,很容易出现误判。
2.HTTP重定向技术 防火墙在接收到某个源的HTTP GET请求报文之后,解析该报文提取出统一资源定位符(URL, Uniform Resource Locator)信息,附加上特定的key值生成新的URL信息,并使用新的URL构造出HTTP重定向报文,发送到客户端。正常的客户端在接收到该HTTP重定向报文之后将重新使用新的URL进行请求。由于HTTP规范的限制,该方法只适用于针对GET请求攻击的防范,无法用于处理POST请求攻击。
传统保护设备需要 SSL 证书(或密钥)的副本才能解密通过设备传输的数据包。但是,这样做会损害用户隐私并增加延迟。如果处理不当,该过程可能会产生额外的安全风险。更重要的是,传统设备是有状态的,因此本身容易受到 DDoS 攻击。对于其安全策略阻止他们保留其网络租户的解密密钥的服务提供商和运营商,这是有问题的。没有网络租户的密钥,传统的现成解决方案是无效的。
那么,服务提供商如何才能正确保护其租户免受网络攻击?建议参考恒创科技香港高防服务器、高防 IP。恒创科技香港高防服务器、高防 IP 服务,可以实现有效的 HTTPS 加密网络攻击防御。它们基于先进的智能攻击检测处理系统。该系统可以作为代理处理客户端发起的 TCP 和 SSL/TLS 握手,通过丰富的 HTTP 协议验证算法单次验证客户端的合法性。将有 HTTPS 业务交互,并通过 HTTP 算法交互验证的客户端识别为合法用户,其后续报文直接放行。
HTTPS 服务器提供的是应用层服务,SSL/TLS 连接只是 HTTP 业务访问之前的中间步骤,正常用户不会只做 SSL/TLS 连接,而不进行后续的 HTTP 加密报文交互。对于多次 SSL/TLS 连接后,仍不能通过 HTTP 算法验证的客户端,后续报文直接丢弃或将其加入黑名单。通过这种 HTTPS 交互全局视图,将攻击者逐步排除。
这样的解决方案不仅消除了管理解密密钥所带来的操作复杂性,而且可以大规模防止基于 SSL 的 HTTP DDoS 攻击,而不会增加延迟或损害用户隐私。如果你对 HTTPS 攻击感到头疼,或者对 HTTPS 攻击防御感兴趣,欢迎随时联络恒创科技在线客服咨询。