g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Bilgisayar korsanları "öldürmek için bıçak ödünç alırlar", Alibaba'nın 14 yıllık deneyimi size DDoS saldırılarına karşı nasıl savunma yapacağınızı öğretecek

[CSDN editörünün notu] DDoS saldırıları son yıllarda çok yaygındı ve birçok tanınmış platform web sitesi bunlarla karşılaştı. Uygulama katmanı DDoS saldırıları şu anda en yaygın saldırı türü olduğunda, programcılar için DDoS saldırıları hakkında hangi bilgi noktalarında ustalaşılmalıdır ve daha da önemlisi, etkili savunma uygulamaları nasıl yapılır? "CSDN Online Summit-Alibaba Cloud Core Technology Competitiveness" etkinliğinde sistem, uygulama ve ağ güvenliği alanında 14 yıllık araştırma deneyimine sahip Alibaba Cloud kıdemli güvenlik uzmanı Ye Min, yeni uygulama katmanı DDoS saldırı savunmasının derinlemesine en iyi uygulamalarını paylaştı. , Tüm teknik insanlara ilham vermeyi ve fayda sağlamayı umuyorum.

Bay Ye Min tarafından paylaşılan videoyu ücretsiz izlemek için bağlantıyı kopyalayın veya "Orijinali oku" yu tıklayın:

https://edu.csdn.net/course/play/28249/388361

Yazar | Ye Min, Alibaba Cloud Kıdemli Güvenlik Uzmanı

Editör | Tang Xiaoyin

Baş resmi | Oriental IC'den indirilen CSDN

Üretildi | CSDN (ID: CSDNnews)

1. Uygulama katmanı DDoS saldırılarına giriş

DDoS saldırıları İnternet şirketlerini uzun süredir rahatsız ediyor. Bulut kalkanımız tarafından izlenen en yoğun DDoS saldırı trafiğine bakılırsa, saldırı trafiği son yıllarda keskin bir şekilde arttı. 2014'ten itibaren dünyanın en büyük DDoS saldırısı olan 453,8 Gb / sn'yi savunduğumuzu duyurduk. Artık T-seviyesi DDoS de çok yaygın hale geldi.

Uzun yıllardır yüksek trafikli DDoS saldırıları var, saldırı trafiği artmasına rağmen saldırı türleri pek değişmedi.SYN Flood, UDP Flood ve UDP yansıtma saldırıları her zaman başlıca olanlar olmuştur. Zaten geniş akışlı saldırılara karşı çok etkili savunma yöntemleri var.Geçmişte bu tür büyük akışlı saldırılar güvenlik cihazlarıyla karşılaştığında, bir kara deliğe girmiş gibi yutuluyordu, savunmanın başarı oranı çok yüksekti, ancak hackerlar yenilgiyi kabul etmeyi reddettiler. Yeni bir meydan okuma başlattı.

Saldırı trafiği normal iş trafiği olarak gizlenmişse, güvenlik savunma ekipmanının saldırı trafiğini ayırt etmesi zor olacaktır, böylece arka uç uygulamasına saldırmak için savunma ekipmanına nüfuz edebilir.Bu, aynı zamanda CC (Challenge Collapsar) olarak da adlandırılan bir DDoS saldırısıdır. Saldırı, kara deliğe meydan okumak demektir.

2. Uygulama katmanı DDoS saldırıları

Uygulama katmanı DDoS, son yıllarda bilgisayar korsanları tarafından giderek daha fazla tercih edilmektedir.İzlenen verilere bakıldığında, uygulama katmanı DDoS saldırıları 2019'da iki katına çıktı.

Savunma ekipmanlarının kolayca atlanmasına ek olarak, bir diğer önemli neden, uygulama katmanı DDoS saldırılarının daha verimli olmasıdır, çünkü uygulama katmanı saldırıları, veritabanı sorguları, uzak API çağrıları, dosya okuma ve yazma ve hatta üstteki uygulamanın işleme mantığını tetiklemelidir. Karmaşık hesaplama mantığı vardır, bu nedenle bu trafik sunucu üzerinde daha fazla baskı yaratacaktır. Saldırgan, az miktarda trafiğe sahip uygulamalar veya veritabanları üzerinde muazzam baskı uygulayabilen, saldırılması karmaşık mantığa sahip URL'leri dikkatlice seçer. Saldırganların çok fazla bant genişliği kullanmasına gerek yoktur ve sunucu tarafında QPS'deki küçük bir artış bile algılama ve savunmayı daha zor hale getirir.

DDoS saldırısının en tipik yolu botnettir Bilgisayar korsanları hedefe saldırmak için çok sayıda kukla ana bilgisayarı (broiler veya bot) kontrol eder. Bu kukla ana bilgisayarlar sunucular, bilgisayarlar, cep telefonları veya IoT cihazları olabilir.

Uygulama katmanı DDoS saldırılarında, bıçak yardımıyla insanları öldürmenin başka bir yolunun da çok yaygın olduğunu gördük.Hackerlar bazı popüler web sayfalarına saldırgan davranışlar içeren JavaScript kodları yerleştirmişlerdir.Ziyaretçiler bu web sayfalarını açtığında, tarayıcı döngü yapacaktır. Hedef bir saldırı başlatır.Roman ya da küçük bir film sitesi gibi uzun süre kalan bazı web sayfalarında, yeni kullanıcıların sürekli ziyaretleriyle birleştiğinde, saldırı uzun süre devam edecektir. Bilgisayar korsanı bu cihazları kontrol etme yetkisine sahip olmasa da, büyük ölçekli uygulama katmanı DDoS saldırıları gerçekleştirmek için bu normal kullanıcıların tarayıcılarını kullandı.

HTTP / HTTPS hizmetleri İnternet'teki en büyük oranı oluşturur, bu nedenle HTTP / HTTPS protokollerine karşı uygulama katmanı DDoS saldırıları da en yaygın olanıdır.Biz buna HTTP Flood diyoruz. Hepsi HTTP isteklerini başlatsa da, farklı yöntemler de vardır ve savunmanın zorluğu da farklıdır. Bazıları doğrudan HTTP mesajlarının içeriğini ekleyen ve bunları sunucuya gönderen birçok DDoS Truva Atını analiz ettik. Bu genellikle basit bir saldırı yöntemidir ve tanımlama bilgilerini ve HTTP yönlendirmelerini dikkate almaz ve JavaScript'i çalıştıramaz.

Ayrıca, bazı Truva atlarının HTTP protokolü için daha eksiksiz destek sağlayan hazır HTTP kitaplıkları kullandığını gördük.Bazıları çerezleri ve HTTP yönlendirmelerini destekleyebilir, ancak bir tarayıcı motoru olmadan JavaScript'i çalıştıramazlar.

Ayrıca, tarayıcı motorlu saldırı yönteminin aslında çerezleri, HTTP yönlendirmelerini ve JavaScript'i tam olarak destekleyebilen penceresiz bir tarayıcı olduğunu gördük. Ayrıca tarayıcının doğrudan saldırmak için kullanıldığını da keşfettik. Windows platformundaki bazı kötü amaçlı yazılımlar IE kontrolünü ve mobil Uygulama WebView kontrolünü yerleştiriyor. Daha önce bahsedilen popüler web sayfalarına gömülü JavaScript de tarayıcı saldırılarının bir örneğidir. Saldırı trafiğinin kendisi tarayıcı tarafından başlatılan bir istek olduğu için bu tanımlama daha zordur.

Başka bir uygulama katmanı DDoS saldırısı da SSL'yi hedefliyor.İstatistiklere göre, dünyadaki web sayfalarının% 85'inden fazlası HTTPS protokolünü etkinleştirdi, bu nedenle saldırının kapsamı büyük. SSL bağlantısı kurmanın maliyetinin nispeten yüksek olduğunu biliyoruz.Bazı insanlar, bir SSL bağlantısı kurmak için sunucu tarafından tüketilen bilgi işlem kaynaklarının istemcinin 15 katı olduğunu analiz ettiler.Bu nedenle, saldırgan hedef sunucuya çok sayıda SSL bağlantı anlaşması başlatırsa, Sunucu, büyük bir performans baskısı yaratır. Buradaki diğer bir zorluk, uygulama katmanının veri içeriğinin yalnızca SSL anlaşması tamamlandıktan sonra iletilecek olmasıdır, bu nedenle veri paketinin içeriği aracılığıyla saldırıları tespit etmek burada geçerli değildir.

Yukarıda bahsedilen saldırı yöntemlerinin çoğu HTTP / HTTPS hizmetleriyle ilgilidir, ancak birçok oyun işletmesinde yaygın olan özel protokollerde uygulama katmanı DDoS saldırıları da vardır. Bazı kaba saldırı yöntemleri, bir TCP bağlantısı kurduktan sonra rastgele önemsiz veriler göndermektir.Genel olarak, sunucu, yasadışı verilerle karşılaştığında bağlantıyı doğrudan keser.

Ancak, normal iş trafiğini yakalayan ve ardından hedefe saldırmak için yeniden oynatmayı kullanan bazı hasta saldırganlar da vardır.Bir yandan, bu normal trafik, sunucunun oturum açma gibi daha fazla iş mantığı hesaplaması yapmasına neden olur. İşlemin, daha büyük saldırı etkileri oluşturmak için veritabanını sorgulaması gerekir.Başka bir yönü de, yeniden oynatma trafiğini normal kullanıcı trafiğinden ayırt etmenin zor olmasıdır, bu da tespit ve savunma açısından daha büyük zorluklar ortaya çıkarır.

Bu saldırı yöntemlerinden, uygulama katmanı DDoS saldırılarının artık basit ve kaba büyük trafik saldırıları olmadığını, ancak saldırgan tarafından dikkatlice oluşturulmuş, savunma cihazlarını atlamak ve arka uç uygulamalara ve hizmetlere saldırmak için normal trafik gibi gizlenmiş veri paketlerinin olduğunu görebiliriz.

3. Geleneksel uygulama katmanı DDoS savunma çözümü

Geleneksel savunma stratejisi, yüksek frekanslı ziyaretçileri engellemek için kaynak IP ve URL doğruluğunun hızını sınırlayan frekans kısıtlamasıdır. Şu anda, çoğu CC savunma ürünü, kullanıcılara bir hız sınırı işlevi sunmaktadır. Bununla birlikte, frekans oranı sınırının birçok kusuru vardır, çünkü farklı hizmetlerin QPS'si çok farklıdır, varsayılan hız sınırı stratejisi, örneğin aşağıda gösterildiği gibi tüm senaryolar için uygun değildir, ilk trafik grafiği, en yüksek trafik 200.000 QPS'ye ulaşır ve ikincisi Her grafiğin tepe değeri sadece 20.000 QPS'dir. İkincisinin bir saldırı olduğuna sezgisel olarak karar veriyoruz, ancak açıkçası bu iki işletme aynı oran sınırlama stratejisini kullanamaz.

Diğer bir sorun, bir web sitesi çok sayıda ziyarete sahip olduğunda, bazı hassas arayüzlerin dayanabileceği QPS'nin çok düşük olması ve küresel hız sınırı stratejisinin uygulanamamasıdır. IP'nin kabaca engellenmesi kazara yaralanmaya da neden olabilir. Bir kaynak IP'nin çok fazla trafiği varsa IP'yi kara listeye ekleyin, bu da NAT dışa aktarma IP'sini engelleyebilir. Büyük bir şirket veya okuldaki bir kişi bir saldırı başlatırsa, dışa aktarma IP'sinin tamamı engellenir. Normal kullanıcıların erişimini etkileyecektir.

Bu nedenle, uygulama katmanı DDoS savunmasının kilit noktası, daha rafine stratejiler yapmaktır.Birçok CC savunma ürünü, belirlenmiş veri paketlerini bırakmak için kullanıcı tanımlı stratejileri destekler. HTTP olmayan protokoller için, bazı ürünler kullanıcılara yapılandırma mesajı filtreleme özellikleri sağlar. HTTP protokolleri için çoğu güvenlik ürünü, kullanıcılara çeşitli HTTP boyutlarını yapılandırmak için bir müdahale koşulları kombinasyonu sağlar. Bununla birlikte, DDoS savunması zamana karşı bir yarıştır ve bu manuel analiz ve yapılandırma stratejisinin ciddi gecikmeleri vardır. Ek olarak, bu strateji, büyük ölçüde güvenlik uzmanlarının deneyimine ve iş anlayışına dayanmaktadır.

Bazı otomatik çözümler de yaygın olarak kullanılmaktadır.Bir web sitesini ziyaret ettiğinizde beyaz bir ekran sayfasıyla karşılaşmış olabilirsiniz. Yukarıda bir güvenlik kontrolü yapmanız ve birkaç saniye sonra hedef sayfaya geçmeniz istenir. Buna JavaScript sınaması denir. Sunucu, istemciye doğrulama tarayıcısının JavaScript kodunu içeren bir doğrulama sayfası döndürür. Erişmek için gerçek bir tarayıcı kullanıyorsanız ve normal kullanıcı davranışları varsa, doğrulamayı geçebilirsiniz. Aynı zamanda bazı dezavantajları da vardır, yani sadece web sayfalarına uygulanabilir, bir API arayüzü ise, bu zorluk normal işi kesintiye uğratır ve HTTP olmayan protokoller için geçerli değildir.

İnsan-makine doğrulama yöntemleri, grafik doğrulama kodları veya kullanıcıların tıklayıp kaydırmasını gerektiren doğrulama yöntemleri de dahil olmak üzere uygulama katmanı DDoS savunması için de kullanılır.Bu yaklaşım birçok senaryoda kullanılsa da, kullanıcı deneyimini büyük ölçüde etkiler ve kusurları da vardır. Yalnızca web sayfaları için kullanılabilir, API arayüzleri ve HTTP olmayan protokoller için kullanılamaz.

4. Akıllı savunma planı

1. Derinlemesine savunma mimarisi

Bu çözümlerin bazı eksiklikleri var, hiçbir çözüm DDoS saldırılarını tüm senaryolarda çözemez.Bu nedenle son yıllarda kapsamlı bir savunma çözümü yaptık.Çeşitli saldırı yöntemlerini de dikkate alarak birden çok boyuttan gerçekleştirdik. Veri paketi içerik özellikleri, erişim davranışları, müşteri zorlukları ve akıllı hız sınırı dahil olmak üzere trafik analizi ve savunma. Bunların büyük bir kısmı otomatik olarak analiz edilir ve modellenir. Erişim temel analizi her işletme ve her URL için gerçekleştirilir ve otomatik olarak keşfedilir Alibaba Cloud'un avantajlarına dayanan istisnalar ve tehdit istihbaratı teknolojisinin büyük ölçekli uygulaması. Aşağıdaki şekildeki yeni savunma yöntemlerinin çoğu, uygulama katmanı DDoS saldırılarına karşı savunma yapmak için tasarlanmıştır.

2. Akıllı uyarlanabilir çözüm

Neden uyarlanabilir?

Ya varsayılan koruma şablonu ya da kullanıcıların bunu yapılandırmasına izin vermek iyi bir çözüm değildir. Çok sayıda farklı işletme olduğunda, işletmenin geçmiş trafiğine göre normal koşullar altında temeli otomatik olarak analiz eden, bu temele göre istisnaları bulan ve anormal istekleri engelleyen uyarlanabilir bir çözüme sahip olmamız gerekir.

Uyarlanabilirliğin zorlukları ve zorlukları

1. Zorluk: İş temelleri otomatik olarak nasıl tasvir edilir ve tarihsel saldırıların müdahalesi nasıl önlenir?

Örneğin, aşağıdaki şekildeki ilk akış şemasında, periyodik dalgalanmalarını otomatik olarak belirleyebilir ve frekans taban çizgisini oluşturabiliriz.En yüksek QPS çok yüksek olmasına rağmen, geçmiş frekans taban çizgisine uygundur, bu nedenle normal davranış olarak değerlendiririz. İkinci şekilde ise zirve QPS yüksek olmamasına rağmen tarihsel temeli karşılamadığı için bir atak olduğu tespit ediliyor.

Tüm sürecin verilere göre otomatik olarak yapılması gerekir, çünkü çok sayıda farklı işletme olduğunda manuel etiketleme gerçekçi değildir. Aynı zamanda web sitesi geçmişinde bir saldırı varsa, müdahaleyi önlemek için saldırı anındaki verilerin otomatik olarak kaldırılması gerekir.

2. Zorluk: İlk saldırıda anormallikler nasıl bulunur ve bunlarla nasıl başa çıkılır?

Bu, trafiğin anormal olduğunu keşfetmenin yalnızca ilk adımıdır. En önemli şey, hangi trafiğin anormal olduğunu belirlemek ve onu engellemek için otomatik olarak bir strateji oluşturmaktır. Her işletmenin trafiği farklıdır ve saldırı yöntemleri de sürekli değişmektedir.Açıktır ki, saldırı trafiğini normal trafikten ayırmak için sabit bir özellik kullanılamaz. Benzer şekilde, saldırı trafiğini bulmanın anahtarı, normal trafiğin nasıl göründüğünü bilmektir. Düzinelerce boyuttan öğreniriz ve iş normal olduğunda, her alan adına, her bağlantı noktasına ve her URL'ye kadar trafiğin temel profilini öğreniriz. Aynı şey de bin kişi. Bir saldırı gerçekleştiğinde, trafik analiz motoru, mevcut trafik ile taban çizgisi arasındaki karşılaştırmaya dayalı olarak saldırı trafiğine müdahale etmek için otomatik olarak bir strateji oluşturabilir.

3. Boyut azaltma grevlerinin koordineli savunması

Alibaba Cloud'da, her gün büyük saldırılara karşı savunuyoruz ve her savunma, daha fazla müşteriyi korumak için değerli bilgiler üretebilir.

Tıpkı bağışıklık sistemi gibi, bir tür saldırıya maruz kalan bir müşteri, tehdit istihbarat sistemine girecek, saldırı tekniğini ve saldırı kaynağı IP özelliklerini otomatik olarak analiz edecek ve çok boyutlu bir hedefli plan oluşturacaktır. Bu saldırı bir dahaki sefere gerçekleştiğinde, tüm müşteriler korunacaktır.

V. Uygulama katmanında DDoS saldırı ve savunmasının geliştirilmesi

DDoS savunmasının zamana karşı yarışması gerekir. Bir dakika kadar hızlı olabilir ve iş kesintisi bir dakika azaltılabilir.Tüm savunma sistemi yeterince gerçek zamanlı olmalıdır. Gerçek zamanlı trafik toplama, analiz ve durdurma, özellikle saldırı trafiği büyük olduğunda gerçekleştirilmelidir, gerçek zamanlı analiz tüm bağlantının performansı için büyük zorluklar ortaya çıkarır. Yeterince hızlı olmak için, manuel analiz çok geç olmalıdır.Otomatikleştirilmiş ve yeterince akıllı olmalıdır.Çevrimdışı temel profil hesaplama ve gerçek zamanlı akıllı stratejiler sayesinde, uygulama katmanı DDoS saldırılarının% 95'inden fazlasının üzerinde gerçekleştirilebilmesini sağladık. Otomatik savunma 3 dakika içinde başarılı olur ve işletme yeniden kurulur.Tüm analiz ve karar verme bağlantısı uzun olduğu için, iyileştirme için hala çok yer var.

Uygulama katmanı DDoS hala çözmemizi bekleyen birçok zorluğa sahiptir. Adam öldürme sorunu bunlardan biridir.İşletmede promosyonlar ve flaş aktiviteler olduğunda, trafik kısa sürede yükselir.Bazı flaş senaryolarda, çok sayıda IP tek bir sayfaya erişir, hatta şu anda normal iş Etkilendi ve sunucu tepkisi çok yavaş. Şu anda, tüm boyutlar normal taban çizgisiyle çok ilgilidir. Saldırı tespit sistemi, bu davranışı bir DDoS saldırısı olarak kolayca yanlış değerlendirebilir.

Diğer bir sorun, savunma sisteminin bir savunma stratejisi olarak büyük ölçüde işletmenin temel profiline dayanmasıdır.Yeni başlatılan bir işletme saldırıya uğrarsa veya işletme savunma sistemine yeni bağlanırsa, savunma sistemi iş profilinden yoksundur ve bunun normal olduğunu bilmez. Trafik nasılsa, savunma etkisi büyük ölçüde azalacak. Birçok kez başka bir sorun meydana geldi. Bazı işletmelerde, istemcinin bir hatadan sonra yeniden bağlanma mantığı veya yeniden iletim mantığı vardır. İstemci mantığı doğru ayarlanmazsa, sunucuda bir istisna meydana geldiğinde yeniden bağlanmaya veya yeniden iletmeye devam eder. Rahatsız edici bir davranış olarak yanlış değerlendirilmek kolaydır, bu da tüm IP'nin engellenmesine neden olur. Bu savunma eksikliklerine yanıt olarak, normal kullanıcıların katliamını en aza indirmek için erişim kaynaklarının ve müşterilerin itibar puanları dahil olmak üzere yeni teknik çözümler tasarlıyoruz.

Tarihsel gelişim perspektifinden bakıldığında, DDoS saldırı ve savunma teknolojileri gelişiyor, ancak ne saldırı ne de savunmanın mutlak bir avantajı olmadı. İlgi olduğu sürece hackerlar savunma planımıza meydan okumaya devam edecekler Bugün savunma teknolojisinde pek çok yenilik yapmış olsak da yol yüksek, sihir yüksek, hackerlar kesinlikle bizimkini atlatmak için yeni saldırı teknikleri üzerinde çalışacaklar. Savunma sistemi, basit ve kaba saldırı yöntemlerinden iyileştirme ve zekaya doğru gelişti, bu da bizi yeni savunma teknolojilerini incelemeye zorluyor ve gelecekteki saldırılar ve savunma teknolojileri yeni bir seviyeye ulaşacak.

Yazar hakkında: Alibaba Cloud'un kıdemli bir güvenlik uzmanı olan Ye Min, sistemler, uygulamalar ve ağ güvenliği alanlarında 14 yıllık araştırma deneyimine sahiptir. Alibaba'nın kimlik avı önleme, bulut kalkanı izinsiz giriş önleme ve ağ güvenliği ürün teknik lideri, ağ güvenliği saldırısı ve savunma konularında kapsamlı deneyime sahiptir. Yapının öncülüğünü yaptığı bir dizi güvenlik teknolojisi, Alibaba Cloud'un milyonlarca müşterisini korudu.

"Milyonlarca Kişi Yapay Zekayı Öğreniyor" un önemli bir parçası olarak, 2020 AIProCon Geliştiriciler Konferansı 26 Haziran'da çevrimiçi olarak yayınlanacak ve geliştiricilerin mevcut sınır teknolojisi araştırmaları ve yapay zekanın temel teknolojileri hakkında tek noktadan bilgi edinmelerine olanak tanıyor. Uygulamalar ve kurumsal vakalardaki pratik deneyimle, heyecan verici ve çeşitli geliştirici salonlarına ve programlama projelerine çevrimiçi olarak da katılabilirsiniz. Bir dizi ileriye dönük aktiviteye ve çevrimiçi canlı yayın etkileşimlerine katılın. Yalnızca on binlerce geliştiriciyle iletişim kurmakla kalmaz, aynı zamanda özel canlı yayın hediyeleri kazanma ve teknik uzmanlarla bağlantı kurma fırsatına da sahip olursunuz.

Yorum alanında seçilirseniz, 299 yuan değerinde "2020 AI Geliştiriciler Konferansı" için çevrimiçi canlı bir bilet alacaksınız. Parmaklarınızı hareket ettirin ve söylemek istediklerinizi yazın!