日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
對抗模擬瀏覽器的DDoS攻擊

收藏該文基于瀏覽器的僵尸網(wǎng)絡(luò)就是DDoS世界里的T-1000s。他們之所以如此危險(xiǎn)是因?yàn)樗麄兙透K結(jié)者里的反派一樣,被設(shè)計(jì)的可以適應(yīng)各種情況的攻擊。當(dāng)其他原始的網(wǎng)絡(luò)僵尸還在暴力破解你的防御的時(shí)候,基于瀏覽器的僵尸就已經(jīng)模擬真實(shí)的人類從前門進(jìn)入了。

當(dāng)你意識(shí)到情況不對時(shí),他們已經(jīng)突破邊界,搞宕服務(wù)器,已經(jīng)無力回天了。

那么應(yīng)該怎么防御T-1000呢,怎么分辨一次訪問是來自與真實(shí)的瀏覽器還是一個(gè)基于瀏覽器的僵尸?傳統(tǒng)的過濾僵尸的策略在面對能夠保存cookie和執(zhí)行javascript的僵尸時(shí)都失效了。而不分青紅皂白地讓所有用戶都填寫驗(yàn)證碼無異于自我毀滅,尤其是當(dāng)這種攻擊可能持續(xù)數(shù)個(gè)星期的時(shí)候。

為了研究防御方法,我們來看一個(gè)真實(shí)的案例:

這次攻擊是一個(gè)未知的僵尸網(wǎng)絡(luò)發(fā)起的。這些基于瀏覽器的僵尸可以保存cookie,執(zhí)行javascript。攻擊的早期我們識(shí)別出是PhantomJS無界面瀏覽器。

PhanomJS是一套開發(fā)無界面瀏覽器的工具。它提供所有瀏覽器的功能但是沒有界面,沒有按鈕,沒有地址欄。一般被用在自動(dòng)化測試和網(wǎng)絡(luò)監(jiān)控上。

這次攻擊持續(xù)了150個(gè)小時(shí)以上。這個(gè)過程中,我們記錄了全球超過180000個(gè)惡意IP。高峰期每秒6000次攻擊,平均一天有690000000次以上。攻擊IP的數(shù)量和分布范圍讓我們覺得這應(yīng)該不僅僅是一個(gè)僵尸網(wǎng)絡(luò),而是可能整合了多個(gè)。下圖是攻擊ip的地理分布。

攻擊過程中我們截獲了861個(gè)不同的user-agent。攻擊者修改了頭部的結(jié)構(gòu)試圖繞過我們的防御。

下圖是攻擊最多的ip:

有趣的是攻擊者除了使用模擬瀏覽器的僵尸,還試圖模擬人類的行為來躲避基于行為檢測的安全規(guī)則。這些僵尸會(huì)先訪問不同的頁面,然后像人類那樣訪問一些隨機(jī)的頁面,最后才會(huì)聚集在一起消耗資源。

盡管基于瀏覽器的僵尸能夠突破傳統(tǒng)的過濾。但是由于它使用了一個(gè)已知的無界面瀏覽器,這樣子就可以通過我們的客戶端分類機(jī)制檢測到。

我們的客戶端分類機(jī)制基于我們已經(jīng)收集的大量信息總結(jié)出來的簽名。發(fā)生這次攻擊的時(shí)候,我們的信息庫已經(jīng)有超過10000000個(gè)簽名。每一個(gè)簽名都包括:

User-agent

IPs and ASN info

HTTP Headers

JavaScript footprint

Cookie/Protocol support variations

我們不僅僅收集一些明顯的信息,比如user-agent,還收集一些瀏覽器之間復(fù)雜的細(xì)微差別。安全的對抗是封閉的,所以不說一些技術(shù)細(xì)節(jié)的話很難把這個(gè)機(jī)制解釋清楚。稍微說一點(diǎn),我們會(huì)尋找瀏覽器處理編碼方面細(xì)微的差別,比如,我們通過瀏覽器處理HTTP頭里兩次空格和特殊字符來區(qū)別不同的瀏覽器。

所以我們的數(shù)據(jù)庫里有成千上萬個(gè)已知的瀏覽器和僵尸簽名,覆蓋各種場景。在這個(gè)案例中,攻擊者的武器PhantomJS webkit當(dāng)然也是我們簽名庫中的一個(gè)。

當(dāng)攻擊者在規(guī)劃如何讓他的僵尸看起來更像人類的時(shí)候,我們的團(tuán)隊(duì)必須做的就是讓我們的系統(tǒng)發(fā)現(xiàn)攻擊者用的無界面瀏覽器是哪一種。之后我們做的就是簡單的屏蔽了所有的PhantomJS的實(shí)例。我們甚至留了一個(gè)備選,讓用戶填一個(gè)驗(yàn)證碼,以免屏蔽掉了真正的人類訪問。

不出意料的,沒有驗(yàn)證碼被填寫。

幾天之后,當(dāng)我們已經(jīng)完全依靠機(jī)器識(shí)別,不需要人工干預(yù)了。攻擊者依然在使用新的user-agent和新的ip試圖繞過防御。但是所有殘忍的T-1000s都已經(jīng)被我們冰凍起來了。他們使用的方法,簽名,模式都已經(jīng)被記錄下來作為將來的參考。

原文地址:http://thehackernews.com/2013/11/ddos-attack-from-browser-based-botnets.html


分享名稱:對抗模擬瀏覽器的DDoS攻擊
分享網(wǎng)址:http://www.dlmjj.cn/article/dhsieis.html