• Web Security 07.01.2017

    防禦DDOS的Web services安全設計建議

    這篇文章主要對於 Web Services 防護 DDOS的安全設計提出建議

    DDOS 攻擊的類型

    攻擊者利用許多被控制的電腦 (BOTS)對特定受害服務器發起大量的請求

    造成受害者服務暨服務癱瘓所造成的攻擊, 簡稱 DDOS (Distributed Denial of Service)

    常見的 DDOS攻擊分類如下:

    將 DDOS攻擊分類的主要原因是因為每種不同的攻擊會有不同的防護方案

    網路基礎層攻擊

    TCP Syn Flood與 User Datagram Protocol (UDP) reflection是最常見的攻擊方式

    藉由傳送大量的網絡封包造成目標受害者電腦癱瘓, 這樣的攻擊行為通常可以透過防火牆或是IPS識別

    另外,基於UDP協議的攻擊有 Domain Name System (DNS), Network Time Protocol (NTP), 與 Simple Service Discovery Protocol (SSDP)等, 這些攻擊善用受害者伺服器會回覆固定大小的封包造成網絡癱瘓

    應用層攻擊

    應用層的攻擊主要針對Web服務器, 多半基於HTTP協議的攻擊

    • HTTP Slow Attack: 讓伺服器等待每一個連結請求, 最終導致伺服器無法服務其他請求
    • HTTP Flood: 大量的 HTTP請求造成Web伺服器癱瘓
    • SSL renegotiation Attack: 透過大量SSL重協商造成伺服器癱瘓

    實務上常見的DDOS攻擊, 可能結合上述網絡層與應用層的攻擊, 防護方式介紹如下:

    多層次的防護

    整體來說DDOS的防護可分為三大層次

    • 網絡近源清洗
    • 網路層過濾
    • 應用層過濾

    Web服務開發防護建議

     

    參考

    SEC307 – Building a DDoS-Resilient Architecture with AWS

    SEC306 – Defending Against DDoS Attacks

    https://code.google.com/p/slowhttptest/

     

    Posted by Tony @ 3:37 pm

  • Leave a Reply

    Your email address will not be published.