日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
數(shù)據(jù)庫防火墻的阻斷方式:行為阻斷或者Session阻斷?

在本文中,筆者將帶大家了解下數(shù)據(jù)庫防火墻的阻斷方式,以及為什么在數(shù)據(jù)庫防火墻中不能執(zhí)行Session阻斷?

成都創(chuàng)新互聯(lián)專注于永泰企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計(jì),商城網(wǎng)站定制開發(fā)。永泰網(wǎng)站建設(shè)公司,為永泰等地區(qū)提供建站服務(wù)。全流程定制制作,專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

首先,我們來看看關(guān)于阻斷的簡(jiǎn)單分類和定義。有威脅入侵時(shí),阻斷危險(xiǎn)有兩種方式:行為阻斷和Session阻斷。

什么是行為阻斷?行為阻斷是數(shù)據(jù)庫防火墻的自然工作方式。當(dāng)檢測(cè)到入侵行為的時(shí)候,阻斷該行為的操作。行為阻斷依據(jù)響應(yīng)偏好的不同,可以工作在兩種不同模式之下。

◆模式一:錯(cuò)誤響應(yīng)模式

阻斷操作之后,返回預(yù)先定義的錯(cuò)誤信息,使應(yīng)用程序可以構(gòu)造合理的錯(cuò)誤響應(yīng)。錯(cuò)誤響應(yīng)模式的好處在于可以讓應(yīng)用程序檢測(cè)到入侵發(fā)生,并響應(yīng)合理的錯(cuò)誤形式給用戶和入侵者。壞處在于入侵者有可能也可以感知到有安全業(yè)務(wù)邏輯在發(fā)生作用,特別是如果應(yīng)用程序缺乏錯(cuò)誤處理有可能會(huì)直接返回錯(cuò)誤響應(yīng)給入侵者。

◆模式二:靜默響應(yīng)模式

阻斷操作之后,返回正常的零響應(yīng)信息,包括0行數(shù)據(jù),0行數(shù)據(jù)被影響或者成功操作的響應(yīng)信息。靜默響應(yīng)模式的好處在于完全正常的業(yè)務(wù)邏輯響應(yīng)使入侵者很難獲取相關(guān)信息,壞處在于應(yīng)用程序也無法感知入侵,只能依賴于安全設(shè)備的運(yùn)行。

然而,相對(duì)于行為阻斷,Session阻斷是一種很簡(jiǎn)單的操作,中斷網(wǎng)絡(luò)連接,阻止進(jìn)一步的操作。Session阻斷的好處在于技術(shù)上實(shí)現(xiàn)非常簡(jiǎn)單,壞處則會(huì)帶來眾多不可預(yù)知的影響。而且,其不可被用在數(shù)據(jù)庫防火墻中。

為什么在數(shù)據(jù)庫防火墻中不能執(zhí)行Session阻斷?

絕大部分企業(yè)級(jí)應(yīng)用建立在數(shù)據(jù)庫連接池技術(shù)之上?;緲I(yè)務(wù)路徑是:業(yè)務(wù)應(yīng)用程序發(fā)起數(shù)據(jù)庫操作請(qǐng)求,從數(shù)據(jù)庫連接池中獲得一個(gè)數(shù)據(jù)庫連接,應(yīng)用程序在這個(gè)給定的數(shù)據(jù)庫連接執(zhí)行業(yè)務(wù)操作,業(yè)務(wù)操作完成之后釋放這個(gè)數(shù)據(jù)庫連接到數(shù)據(jù)庫連接池。

下面我們來分析Session阻斷的操作和影響。一般情況下,多數(shù)Session阻斷會(huì)采用向客戶端和服務(wù)端分別發(fā)Reset包的方式來實(shí)現(xiàn)阻斷,我們這里不探究reset信號(hào)的阻斷有效性,假設(shè)其總是可以快速阻斷。在此前提下我們從兩個(gè)方面來探討可能的影響:

一是,數(shù)據(jù)庫連接池的影響。Session阻斷之后,會(huì)導(dǎo)致數(shù)據(jù)庫連接池的可用數(shù)量減少。特別是在多數(shù)情況下,數(shù)據(jù)庫連接池并不會(huì)檢測(cè)到reset信號(hào),也就是說雖然網(wǎng)絡(luò)連接已經(jīng)被中斷,但是數(shù)據(jù)庫連接池并沒有意識(shí)到連接已經(jīng)不可用,依然會(huì)把業(yè)務(wù)分配到這個(gè)已經(jīng)中斷的數(shù)據(jù)庫連接之上,導(dǎo)致業(yè)務(wù)大規(guī)模錯(cuò)誤。

簡(jiǎn)單來看,入侵者可以通過簡(jiǎn)單的可以被數(shù)據(jù)庫防火墻識(shí)別的無效攻擊來實(shí)現(xiàn)cc攻擊,導(dǎo)致業(yè)務(wù)系統(tǒng)不可用。為了避免這種情況,需要在數(shù)據(jù)庫連接池上增加特定錯(cuò)誤檢測(cè)功能,當(dāng)檢測(cè)到特定錯(cuò)誤之后,關(guān)閉特定無效鏈接,并主動(dòng)發(fā)起重新連接以保持業(yè)務(wù)程序運(yùn)行。

二是,數(shù)據(jù)庫端的影響。在大部分情況下,數(shù)據(jù)庫并不能很好的處理reset信號(hào),而需要依賴死進(jìn)程檢測(cè)程序來處理。由于處理無法保證有效,也就是說在相當(dāng)多的場(chǎng)景下可能會(huì)出現(xiàn)大量的僵死進(jìn)程,消耗大量數(shù)據(jù)庫會(huì)話資源,入侵者可以通過這個(gè)特征實(shí)現(xiàn)cc攻擊。特別是在實(shí)際運(yùn)行中,僵死進(jìn)程甚至存在共享的資源沒有釋放,從而導(dǎo)致數(shù)據(jù)庫業(yè)務(wù)部分掛起或者全部掛起。

總結(jié)

數(shù)據(jù)庫防火墻設(shè)備從理論上講必須采用行為阻斷模式,采用具體形式的行為阻斷都可以完成相應(yīng)目標(biāo)。Session阻斷模式會(huì)帶來眾多不可預(yù)知的影響,不應(yīng)該被數(shù)據(jù)庫防火墻所采用。

【原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為.com】。


本文標(biāo)題:數(shù)據(jù)庫防火墻的阻斷方式:行為阻斷或者Session阻斷?
網(wǎng)頁URL:http://www.dlmjj.cn/article/djspcdd.html