传统的 HTTP 以明文形式传输数据包,容易被拦截和篡改。SSL/TLS 提供身份认证和信息机密性和完整性检查功能。HTTPS 建立在 HTTP 之上,使用 TCP、SSL/TLS 和 HTTP 三种常见协议实现 SSL/TLS 加密的信息交换。因此,针对 HTTPS 的 DDoS 攻击主要针对 TCP、SSL/TLS 和 HTTP。
下面分别介绍下:
这种常见的攻击主要是针对HTTPS服务器发起SYN Flood、ACK Flood等攻击,目的是消耗TCP连接等服务器资源。此类攻击不针对特定于 HTTPS 的协议,并且所有使用 TCP 的服务器都可能收到这些攻击。
SSL/TLS 握手涉及非对称加密算法、对称加密算法和哈希算法。非对称加密算法消耗大量计算资源。对于大多数非对称加密算法,在实际情况下,服务器做的计算量远远超过客户端。这里以最常用的非对称加密算法 Rivest-Shamir-Adleman (RSA) 算法为例来说明这种算法的工作原理。某些RSA算法明显减少了服务器的CPU资源消耗,但是实际中,当使用RSA和SSL/TCP密钥交换算法时,服务器消耗的CPU资源是客户端的数倍。
鉴于握手过程中服务器和客户端资源消耗的不对称性,攻击者可以通过继续与服务器建立 SSL/TLS 握手或发起密钥重新协商
HTTP-targeting 攻击可以通过以下任一方式进行:
1、发送大量预先准备好的HTTP加密包或HTTP加密垃圾包,消耗服务器的非对称加密性能。
2. 攻击者使服务器处理大量的 HTTP 连接或消耗服务器的其他附加资源,如数据库。
针对HTTPS的DDoS防护方法
1. 防火墙
建议使用适当的防御机制。IPS 和防火墙提供了一定程度的保护,但这些安全措施不足以应对 DDoS 攻击,因为这种形式的网络犯罪具有一定程度的复杂性并且可以灵活地进行。公司已经实施的安全解决方案经常被宽带攻击所覆盖,同时可能会阻塞整个网络基础设施。因此,邮件服务器或网站不再可用。每个公司都要认真对待地“最坏情况”。出于这个原因,作为初步阶段插入 DDoS 防御解决方案应该符合公司内部安全人员的利益。
2. 防止基于 Web 的应用程序
公司中的大量流程都基于 Web 应用程序。它们现在已成为每家公司的标准曲目的一部分。这尤其适用于处理客户支持中的查询、接受新订单以及在网站上为合作伙伴提供界面。这些网络基础设施的持续维护在这里被认为是基本的。毕竟,用户期望一定程度的可用性和安全性。即使是专业的网络犯罪分子也已经认识到,公司的核心流程越来越多地基于 Web 应用程序。在实践中很少发现对应用程序的攻击,因为这种类型的 DDoS 攻击与高水平的技术工作相关;然而,这些都是难以计算的风险。适当的保护通常也很困难。
3. 多级安全策略
对于较小的 DDoS 攻击,防御攻击并不构成重大挑战。如果拒绝服务攻击在很大程度上具有不可预见的影响,情况就不同了。在这里,公司现有的防火墙概念可以很快达到极限。这适用于硬件和软件级别。多层解决方案特别适合这种形式的攻击。原则上,它们用于防御可扩展的 DDoS 攻击。
4. 安全解决方案的功能
因此,针对 DDoS 攻击的有效保护应该从几个层面开始。这是您作为公司可以可靠地保护自己免受此类攻击的唯一方法。当然,这也适用于自己公司网络基础设施的核心。身份验证、打包、应用和验证管理在这里特别常见。还必须考虑通过指南的具体定义来控制访问级别。
5. 多层 DDoS 防御
对于可持续 DDoS 攻击防护的实施,始终建议采用差异化的方法。不仅在应用程序级别,而且一般而言,首选的防御解决方案应该识别单独设计的攻击模式并可靠地抵消它们。事实证明,这种系统的校准是一项在实践中不应被低估的任务。这里的意思是对合法查询和这些查询是否未经授权进行具体区分。后者的特点是数据量不是很低,应该及时识别和阻止。这包括 IP 过滤机制。