網(wǎng)絡(luò)安全世界中,人們所熟悉的DDoS攻擊(分布式拒絕服務(wù)攻擊),大多數(shù)是對(duì)帶寬或者網(wǎng)絡(luò)的計(jì)算資源進(jìn)行消耗,最終導(dǎo)致目標(biāo)網(wǎng)絡(luò)或者業(yè)務(wù)癱瘓,無法訪問。
除了常規(guī)的DDoS攻擊,還有一類典型DDoS攻擊手段,只需要很小的成本,就可以實(shí)現(xiàn)更大的破壞效果。與常見的DDoS攻擊不同的是,這種DDoS攻擊手段可以直接攻擊目標(biāo)的應(yīng)用層,同時(shí)還可以實(shí)現(xiàn)不癱瘓目標(biāo)網(wǎng)絡(luò),只癱瘓目標(biāo)業(yè)務(wù)。
火山引擎WAF技術(shù)團(tuán)隊(duì)撰文深入分析了這種針對(duì)應(yīng)用層DDoS攻擊手段,并分享如何利用火山引擎WAF實(shí)現(xiàn)有效防護(hù)。據(jù)悉,火山引擎WAF是一款開箱即用的網(wǎng)站和API防護(hù)產(chǎn)品,針對(duì)Web漏洞攻擊、訪問控制、API攻擊、Bot管理、敏感數(shù)據(jù)泄漏等提供防護(hù)方案,全面保障企業(yè)的業(yè)務(wù)安全。
一、DDoS攻擊,不止于網(wǎng)絡(luò)傳輸層
網(wǎng)絡(luò)世界里為人們所熟知的DDoS攻擊,多數(shù)是通過對(duì)帶寬或網(wǎng)絡(luò)計(jì)算資源的持續(xù)、大量消耗,最終導(dǎo)致目標(biāo)網(wǎng)絡(luò)與業(yè)務(wù)的癱瘓;這類DDOS攻擊,工作在OSI模型的網(wǎng)絡(luò)層與傳輸層,利用協(xié)議特點(diǎn)構(gòu)造惡意的請(qǐng)求載荷來達(dá)成目標(biāo)資源耗盡的目的。
除了這類在網(wǎng)絡(luò)傳輸層大做文章的DDoS攻擊,還有一類DDoS攻擊把目光聚焦到了應(yīng)用層。隨著互聯(lián)網(wǎng)的飛速發(fā)展,接入流量逐年攀高,承載這些流量的網(wǎng)絡(luò)應(yīng)用也被黑產(chǎn)、黑客們盯上,在DDoS攻擊場(chǎng)景中也不例外。
由于應(yīng)用層流量更貼近業(yè)務(wù)邏輯,在應(yīng)用層發(fā)起DDoS攻擊可以同時(shí)對(duì)目標(biāo)網(wǎng)絡(luò)與目標(biāo)服務(wù)器的穩(wěn)定性造成威脅。除此之外,攻擊者往往只需較小的帶寬成本,實(shí)現(xiàn)更大的破壞效果,這樣的不對(duì)稱性自然更受攻擊者們的關(guān)注與青睞。
Cloudflare在 《DDoS Attack Trends for 2022 Q1》報(bào)告指出,全球范圍內(nèi)應(yīng)用層DDoS攻擊(主要是HTTP DDoS)呈現(xiàn)著持續(xù)增長(zhǎng)的態(tài)勢(shì)。在俄烏的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中,HTTP DDoS攻擊也扮演著重要的角色。
與此同時(shí),應(yīng)用層DDoS攻擊的攻擊方式與手法在也在不斷演進(jìn)升級(jí)。從集中式高頻請(qǐng)求逐步演進(jìn)為分布式低頻請(qǐng)求,從請(qǐng)求報(bào)文中攜帶顯著惡意特征變化為重放合法請(qǐng)求流量,偽造搜索引擎爬蟲流量等;而在攻擊的頻率與規(guī)模上,應(yīng)用層DDoS攻擊也呈現(xiàn)出不斷增長(zhǎng)的趨勢(shì)。
針對(duì)攻擊手法的升級(jí)變化,業(yè)務(wù)防護(hù)可以從兩方面著手應(yīng)對(duì):一是在運(yùn)營對(duì)抗上,在攻擊發(fā)生的事前、事中和事后各階段,通過梳理資產(chǎn)信息、分析攻擊報(bào)文并進(jìn)行特征提取、配置防護(hù)策略、復(fù)盤防護(hù)數(shù)據(jù)等手段不斷提升防護(hù)對(duì)抗效果;二是在防護(hù)能力建設(shè)上,可以引入支持多維度特征組合的限速功能、JS Challenge、驗(yàn)證碼等功能模塊來提升對(duì)高級(jí)復(fù)雜的應(yīng)用層 DDoS攻擊的識(shí)別處置能力。與此同時(shí),在流量接入鏈路中與CDN、LB、AGW等各接入層產(chǎn)品進(jìn)行聯(lián)動(dòng)合作,通過在不同接入層級(jí)落地相關(guān)防護(hù)策略,實(shí)現(xiàn)攻擊流量的分級(jí)收斂,在應(yīng)對(duì)大規(guī)模應(yīng)用層DDoS攻擊時(shí)更能凸顯防護(hù)效果。
二、0門檻,高收益,一鍵發(fā)起攻擊
上面提到的應(yīng)用層DDoS攻擊,是通過向應(yīng)用程序發(fā)送大量惡意請(qǐng)求實(shí)現(xiàn)攻擊效果,以每秒請(qǐng)求數(shù) (QPS) 來衡量攻擊量級(jí)與規(guī)模;這類攻擊也稱為 7 層 DDoS 攻擊,可針對(duì)和破壞特定的網(wǎng)絡(luò)應(yīng)用程序,而非整個(gè)網(wǎng)絡(luò)。雖然這類 DDoS 攻擊難以預(yù)防和抵御,但發(fā)動(dòng)起來卻相對(duì)比較容易,具體有多容易呢?
由于7層DDoS通常不需要過高的帶寬成本,也無需構(gòu)造復(fù)雜的協(xié)議利用報(bào)文,在黑灰產(chǎn)交易渠道,可以非常便捷地獲取到發(fā)起7層DDoS的工具與服務(wù)。
即便是知名、成熟的互聯(lián)網(wǎng)應(yīng)用,在這類攻擊面前也存在被攻陷的可能與風(fēng)險(xiǎn)。
三、HTTP DDoS攻擊的類型與特點(diǎn)
3.1 攻擊類型
7層DDoS攻擊中,癱瘓目標(biāo)應(yīng)用與服務(wù)是首要目標(biāo),根據(jù)HTTP DDoS(CC)攻擊發(fā)起的原理與方式,可以總結(jié)以下攻擊類型:
● HTTP floods
這種攻擊主要分為兩種形式。第一種是HTTP GET request floods,攻擊者通過構(gòu)造HTTP GET請(qǐng)求報(bào)文,向目標(biāo)服務(wù)器發(fā)送針對(duì)特定資源的大量請(qǐng)求。在客戶端執(zhí)行一條HTTP請(qǐng)求的成本很低,但是目標(biāo)服務(wù)器做出對(duì)應(yīng)的響應(yīng)成本卻可能很高。比如加載一個(gè)網(wǎng)頁,服務(wù)端通常需要加載多個(gè)文件、查詢數(shù)據(jù)庫等才能做出響應(yīng);例如在Web業(yè)務(wù)的防護(hù)中,對(duì)于有SSR(Server-side rendering)功能頁面的HTTP floods攻擊,其量級(jí)與頻率更加突出明顯,也更容易對(duì)業(yè)務(wù)造成影響與危害。
第二種是HTTP POST request floods,與GET request floods的顯著區(qū)別是,POST請(qǐng)求往往需要攜帶表單參數(shù)或請(qǐng)求體信息,而這通常意味著服務(wù)端需要對(duì)請(qǐng)求內(nèi)容進(jìn)行相關(guān)解析處理,并將數(shù)據(jù)進(jìn)行持久化(通常需要進(jìn)行DB操作)。發(fā)送POST請(qǐng)求一般僅需較小的計(jì)算與帶寬成本,而服務(wù)端進(jìn)行處理操作的過程往往消耗更高。可以說這種攻擊形式下,形成這種請(qǐng)求響應(yīng)間資源消耗差異的空間或可能性更大,更容易實(shí)現(xiàn)讓服務(wù)器過載從而拒絕服務(wù)的目標(biāo)。
● Large Payload POST requests
這類攻擊一般通過POST方法發(fā)送容量大、結(jié)構(gòu)復(fù)雜的請(qǐng)求體到目標(biāo)服務(wù)器,使得目標(biāo)服務(wù)器在解析這些請(qǐng)求內(nèi)容的過程發(fā)生過載(CPU或內(nèi)存);一般而言,攻擊者通過構(gòu)造特定的序列化請(qǐng)求體,如xml、json等,在服務(wù)端執(zhí)行反序列化操作時(shí)引起服務(wù)過載。
● Asymmetric requests
這種類型的攻擊顧名思義,利用的就是請(qǐng)求與響應(yīng)的非對(duì)稱性,請(qǐng)求的目標(biāo)路徑會(huì)執(zhí)行高消耗操作而發(fā)起攻擊請(qǐng)求輕而易舉。通常來說,這類攻擊需要對(duì)目標(biāo)服務(wù)有一定的熟悉與了解,明確攻擊目標(biāo)哪些地方存在這種非對(duì)稱性利用的可能及利用方式。比如通過從數(shù)據(jù)庫服務(wù)器下載大型文件或大量執(zhí)行數(shù)據(jù)庫的查詢等接口,就容易被這種類型攻擊所利用。
● Low&Slow attack(Slowloris/Slow Post/Read attack)
這種類型的攻擊更多是面向連接層面,以基于線程的Web服務(wù)器為目標(biāo),通過慢速請(qǐng)求來捆綁每個(gè)服務(wù)器線程,從而消耗服務(wù)器的線程&連接資源,這類攻擊中主要可分為Slowloris、Slow Post/Read 幾種攻擊方式。
3.2 攻擊特點(diǎn)
根據(jù)上述總結(jié)的HTTP DDoS攻擊類型、原理與實(shí)現(xiàn)方式,可以總結(jié)出HTTP DDoS攻擊具備以下特點(diǎn):
● 攻擊門檻、成本低
相較于4層DDoS攻擊,發(fā)起HTTP DDoS攻擊往往無需構(gòu)造復(fù)雜的攻擊報(bào)文,僅需較少的帶寬就能實(shí)現(xiàn)強(qiáng)大的攻擊效果。
● 攻擊目標(biāo)更精細(xì)
攻擊的目標(biāo)可以精細(xì)到服務(wù)接口粒度,例如直播頁面等,而不需要癱瘓目標(biāo)的網(wǎng)絡(luò)也能讓業(yè)務(wù)出現(xiàn)拒絕服務(wù)。
● 破壞范圍廣,危害程度高
雖然HTTP DDoS攻擊的首要目標(biāo)是癱瘓目標(biāo)服務(wù),但并不意味著對(duì)目標(biāo)網(wǎng)絡(luò)的可用性沒有威脅。當(dāng)HTTP floods量級(jí)到一定程度時(shí),也存在癱瘓請(qǐng)求接入層網(wǎng)絡(luò)的可能性。
● 攻擊源分布廣,隱匿性強(qiáng)
實(shí)際的HTTP DDoS攻擊中,攻擊者常常利用規(guī)模龐大的肉雞/代理IP,而HTTP DDoS攻擊報(bào)文中往往不具備或具備難以察覺的惡意特征。對(duì)這些攻擊源進(jìn)行封禁處置效果有限甚至有誤報(bào)風(fēng)險(xiǎn),攻擊者卻可以隨時(shí)更換新一批攻擊源。
● 請(qǐng)求特征容易偽裝,防護(hù)難度大
不同于Web注入攻擊場(chǎng)景,HTTP DDoS的攻擊請(qǐng)求的報(bào)文特征常常處在一個(gè)難以判定好壞的區(qū)間,有時(shí)部分的異常特征不足以支撐執(zhí)行攔截決策。攻擊者可通過模擬、重放正常請(qǐng)求來發(fā)起攻擊,即便在請(qǐng)求報(bào)文中某些特征被防護(hù)方捕獲并針對(duì)性處置,攻擊者也能感知到并作出調(diào)整。
總體而言,一起復(fù)雜的HTTP DDoS攻擊,通常不會(huì)使用畸形報(bào)文,也無需使用偽裝技巧。對(duì)比其他類型的DDoS攻擊需要更少的帶寬成本就能癱瘓目標(biāo)站點(diǎn)或服務(wù),甚至特定的目標(biāo)集群與接口。在影響目標(biāo)業(yè)務(wù)可用性的同時(shí),也可能對(duì)接入鏈路網(wǎng)絡(luò)的穩(wěn)定性構(gòu)成威脅。這類攻擊往往通過使用大量的肉雞+IP代理池發(fā)起,所以簡(jiǎn)單的封禁策略往往難以起到預(yù)期效果。也正因?yàn)槿绱耍谶M(jìn)行HTTP DDoS攻擊防護(hù)過程,要求對(duì)業(yè)務(wù)有更深入的理解,對(duì)于攻擊定制針對(duì)性策略來實(shí)現(xiàn)誤報(bào)與漏報(bào)的平衡,這也是HTTP DDoS難以檢測(cè)防護(hù)的原因。
四、兵來將擋,火山引擎WAF如何實(shí)現(xiàn)有效防護(hù)
根據(jù)上述HTTP DDoS的類型與特點(diǎn),對(duì)于來勢(shì)洶洶的攻擊流量,火山引擎WAF如何實(shí)現(xiàn)有效防護(hù)呢?
根據(jù)攻擊的原理與類型,可以大致分為三個(gè)主要的防護(hù)場(chǎng)景:
4.1 連接型HTTP DDoS
這類型的HTTP DDoS攻擊,對(duì)應(yīng)上面提到的Low&Slow attack。由于攻擊是通過建立TCP連接后在傳輸HTTP報(bào)文的過程實(shí)現(xiàn)攻擊效果,因此對(duì)于業(yè)務(wù)前面有7層接入層設(shè)備的業(yè)務(wù)(CDN、LB等),這類攻擊會(huì)被前面的7層接入層設(shè)備所承載。所以對(duì)于許多業(yè)務(wù)而言,這類型的攻擊感知可能并不明顯,但并不表明這類攻擊的危害程度低。相反如果針對(duì)特定7層接入設(shè)備進(jìn)行此類型攻擊,可能造成的業(yè)務(wù)影響面會(huì)更加廣泛。
由于這類攻擊的特點(diǎn)是“慢速”,那么WAF可以對(duì)HTTP的請(qǐng)求header讀取、請(qǐng)求、響應(yīng)body的傳輸設(shè)置好超時(shí)時(shí)間。當(dāng)觸發(fā)超時(shí)策略時(shí)可斷開相應(yīng)的TCP連接,釋放連接資源。同時(shí),可對(duì)于異常的header、body做檢查與限制(如限制HTTP請(qǐng)求header的數(shù)量)。還可以通過HTTP層面的精細(xì)化訪問控制來避免誤傷場(chǎng)景(如正常業(yè)務(wù)的大文件傳輸場(chǎng)景)。
當(dāng)然,要實(shí)現(xiàn)這些能力需要WAF與7層接入設(shè)備做好聯(lián)動(dòng)配合才能實(shí)現(xiàn)有效防護(hù)。
4.2 特征型HTTP DDoS
這類型的HTTP DDoS攻擊,對(duì)應(yīng)上面的Large Payload POST requests 和 Asymmetric requests,他們的共同點(diǎn)是需要實(shí)現(xiàn)這類HTTP DDoS攻擊,在HTTP請(qǐng)求報(bào)文中往往能夠提取出關(guān)鍵異常特征。
例如,對(duì)于Large Payload POST requests,WAF可通過限制body長(zhǎng)度,檢查body內(nèi)容合法性等手段來實(shí)現(xiàn)防護(hù);
例如針對(duì)上述的超大異常body,可通過WAF配置自定義策略限制body長(zhǎng)度。
對(duì)于Asymmetric requests攻擊,例如HTTP Range頭利用的例子中,WAF可通過限制HTTP Range頭的分片策略實(shí)現(xiàn)異常檢測(cè)與防護(hù);對(duì)于一些漏洞利用,特別是業(yè)務(wù)使用的服務(wù)框架、中間件產(chǎn)生的漏洞造成的DDoS,利用WAF的Web漏洞檢測(cè)防護(hù)能力便能實(shí)現(xiàn)有效防護(hù)。例如針對(duì)上述的超大異常body,可通過WAF配置自定義策略限制body長(zhǎng)度。
4.3 floods型HTTP DDoS
floods類型的HTTP DDoS在現(xiàn)實(shí)網(wǎng)絡(luò)流量中更為主流與常見,影響業(yè)務(wù)穩(wěn)定性的風(fēng)險(xiǎn)更大,是需要重點(diǎn)關(guān)注的防護(hù)場(chǎng)景;WAF在面對(duì)這類型攻擊時(shí),可根據(jù)floods類型HTTP DDoS攻擊的特征、特點(diǎn),分析拆解防護(hù)策略,通過以下手段、步驟來實(shí)現(xiàn)有效防護(hù):
第一步:鏈路梳理,明確業(yè)務(wù)場(chǎng)景
當(dāng)業(yè)務(wù)面臨HTTP floods攻擊防護(hù)需求時(shí),首先需要梳理清楚業(yè)務(wù)的流量接入鏈路。因?yàn)镠TTP floods通常具有持續(xù)、量級(jí)規(guī)模大的特點(diǎn),因此最佳的防護(hù)部署是首先通過在最外接入層實(shí)現(xiàn)(例如CDN),這樣的優(yōu)點(diǎn)很明顯,能將惡意的攻擊流量在最外層收斂,減少后續(xù)接入層的壓力與成本。但這并不意味著后續(xù)接入層無需部署防護(hù),由于防護(hù)的精準(zhǔn)程度與防護(hù)成本往往是正相關(guān)關(guān)系,經(jīng)過收斂的流量在貼近業(yè)務(wù)的接入層做更精細(xì)的檢測(cè)、處置,往往收益更明顯;
同時(shí),明確業(yè)務(wù)服務(wù)的使用場(chǎng)景在應(yīng)對(duì)HTTP floods攻擊時(shí)也非常關(guān)鍵且必要,業(yè)務(wù)不同的host、path往往有不同的業(yè)務(wù)特征。比如后端負(fù)載能力、是否有登錄態(tài)、WebApp還是Native App、是否有API調(diào)用場(chǎng)景等,只有在明確業(yè)務(wù)場(chǎng)景后才能更好地制定精準(zhǔn)、貼合業(yè)務(wù)需求的防護(hù)策略。
業(yè)務(wù)鏈路梳理&防護(hù)部署
第二步:負(fù)載兜底,構(gòu)建防護(hù)基線
在HTTP floods發(fā)生時(shí),最基本的防護(hù)需求是要保證業(yè)務(wù)的可用性,不能出現(xiàn)因攻擊而造成業(yè)務(wù)癱瘓的情況;在這個(gè)需求背景下,最快速有效的策略便是為業(yè)務(wù)制定負(fù)載兜底策略。與業(yè)務(wù)共同梳理清楚需要防護(hù)的目標(biāo)資產(chǎn)(host、server cluster、path等),根據(jù)業(yè)務(wù)場(chǎng)景先配置全局/粗粒度的限速策略,實(shí)現(xiàn)對(duì)攻擊流量的初步防護(hù)收斂;
同時(shí),在明確目標(biāo)防護(hù)資產(chǎn)的負(fù)載能力后,進(jìn)行更細(xì)粒度的限流/過載保護(hù)策略配置,在流量過載的極端情況下優(yōu)先保證服務(wù)的可用性,構(gòu)建一層基線防護(hù)能力。
第三步:特征分析,過濾惡意流量
采取上述策略手段實(shí)現(xiàn)初步防護(hù)后,需要對(duì)HTTP floods流量進(jìn)一步分析過濾,才能在保障正常業(yè)務(wù)流量的同時(shí)將惡意流量拒之門外。這里就需要WAF提供基于HTTP請(qǐng)求、響應(yīng)報(bào)文的多維組合、匹配能力,識(shí)別出報(bào)文中的異常特征并提供針對(duì)性的處置手段。例如,在對(duì)抗業(yè)務(wù)遭受的HTTP floods惡意流量攻擊過程中,除了提取常見的異常IP,Params,UA,Referer,Cookie等特征進(jìn)行封禁或限速處置外,還會(huì)將相關(guān)特征進(jìn)行組合關(guān)聯(lián),為策略統(tǒng)計(jì)與響應(yīng)處置提供參考。
通過對(duì)攻擊流量特征的分析統(tǒng)計(jì),在WAF上進(jìn)行組合策略配置
除了通過WAF豐富的特征分析能力識(shí)別惡意流量,在面臨HTTP floods攻擊時(shí),提供豐富、梯度的處置動(dòng)作對(duì)于在防護(hù)過程平衡誤傷風(fēng)險(xiǎn)也非常關(guān)鍵。WAF可提供封禁、限速、重定向、驗(yàn)證碼、JS Challenge、自定義響應(yīng)等多種處置動(dòng)作與特征識(shí)別能力配合,為防護(hù)的精準(zhǔn)性提供保障。
第四步:能力聯(lián)動(dòng),提升防護(hù)效果
對(duì)于專業(yè)的HTTP floods攻擊,攻擊者會(huì)盡可能地模擬、重放正常的用戶請(qǐng)求流量。因此從“HTTP報(bào)文特征”去識(shí)別防護(hù)惡意流量,可能還遠(yuǎn)不足以應(yīng)對(duì)高級(jí)復(fù)雜的HTTP floods攻擊。對(duì)于HTTP floods攻擊手法的持續(xù)升級(jí)演進(jìn),除了從HTTP報(bào)文層面抽絲剝繭識(shí)別異常,還需要聯(lián)動(dòng)其他維度的信息與能力來提升防護(hù)效果,具體而言體現(xiàn)在以下方面:
● 對(duì)于高級(jí)隱蔽的HTTP floods,攻擊者必定需要充足的IP資源,這些IP往往來源于“肉雞”IP或IP代理池,通過結(jié)合高質(zhì)量的IP情報(bào)信息,可以在攻擊發(fā)生時(shí)自動(dòng)實(shí)時(shí)處置,實(shí)現(xiàn)精準(zhǔn)防護(hù);
● 同時(shí),專業(yè)的HTTP floods攻擊離不開自動(dòng)化工具的支持,這類工具往往具有BOT特征。通過對(duì)端側(cè)信息的采集、校驗(yàn),與每個(gè)請(qǐng)求進(jìn)行關(guān)聯(lián),可以在攻擊發(fā)生時(shí)自動(dòng)識(shí)別惡意BOT流量,進(jìn)一步提升防護(hù)效果。
WAF的JS Challenge功能,就是通過能力聯(lián)動(dòng)來提升防護(hù)效果的一個(gè)例子:
不同于對(duì)請(qǐng)求報(bào)文檢測(cè)來識(shí)別異常這種“被動(dòng)”的防護(hù)方式,JS Challenge功能通過在防護(hù)檢測(cè)過程“主動(dòng)”向客戶端植入一段JS邏輯。通過利用前端瀏覽器的JS渲染執(zhí)行能力,實(shí)現(xiàn)對(duì)異常流量的識(shí)別;在具體的實(shí)現(xiàn)過程中,為了對(duì)抗重放攻擊、減少繞過風(fēng)險(xiǎn),可能會(huì)引入動(dòng)態(tài)令牌機(jī)制;為了更全面地覆蓋業(yè)務(wù)場(chǎng)景,減少誤傷情況發(fā)生,可以利用JS API調(diào)用判斷瀏覽器環(huán)境與兼容性;為了對(duì)防護(hù)情況的實(shí)時(shí)掌控,還可能引入埋點(diǎn)、監(jiān)控邏輯等。
在這些技術(shù)細(xì)節(jié)的實(shí)現(xiàn)過程中,WAF既需要聯(lián)動(dòng)端側(cè)瀏覽器的能力,也需要聯(lián)動(dòng)CDN、LB等接入組件的能力,最終實(shí)現(xiàn)防護(hù)效果的進(jìn)一步提升。
五、復(fù)盤反思,如何快人一步
WAF在對(duì)抗HTTP DDoS攻擊的過程中,不斷建設(shè)、強(qiáng)化自身能力的同時(shí),也需要不斷復(fù)盤、反思防護(hù)情況,力求更完善、高效的應(yīng)對(duì)思路與方案。具體可以總結(jié)成以下三點(diǎn):
5.1 豐富特征維度
根據(jù)HTTP DDoS攻擊的特點(diǎn)可以得知,防護(hù)難點(diǎn)之一在于攻擊流量特征難以捕捉。其中一個(gè)原因是依據(jù)現(xiàn)有的特征維度,攻擊流量能實(shí)現(xiàn)高度的模擬偽裝。從這個(gè)角度出發(fā),從防護(hù)視角補(bǔ)充更多維度的特征,就更能識(shí)別檢測(cè)惡意流量。
就WAF產(chǎn)品而言,可以從兩方面著手推進(jìn):一方面是豐富報(bào)文特征,除了7層HTTP報(bào)文的特征提取,可以嘗試結(jié)合4層報(bào)文的字段因子來實(shí)現(xiàn)對(duì)惡意流量的識(shí)別標(biāo)記;另一方面是豐富行為特征,由于HTTP是無狀態(tài)協(xié)議,單次請(qǐng)求響應(yīng)的交互所攜帶的信息往往是有限的。通過關(guān)聯(lián)、統(tǒng)計(jì)具有一定聯(lián)系的請(qǐng)求,提取行為特征,也能為制定防護(hù)策略提供參考。
5.2 提升BOT識(shí)別&對(duì)抗能力
對(duì)于BOT流量的識(shí)別對(duì)抗能力,在HTTP DDoS攻擊防護(hù)中,往往發(fā)揮著重要、關(guān)鍵的作用。但現(xiàn)實(shí)業(yè)務(wù)流量中往往也會(huì)混雜正常的BOT流量,這就要求不僅能識(shí)別出BOT流量,還能區(qū)分正常與惡意的BOT流量,具備與惡意BOT流量的對(duì)抗處置能力。
在落地相關(guān)方案時(shí),也需要與業(yè)務(wù)場(chǎng)景緊密貼合。對(duì)于WebApp而言,正常流量多數(shù)通過瀏覽器發(fā)起,可以通過JS Challenge的方式實(shí)現(xiàn)對(duì)端側(cè)的校驗(yàn)與信息采集。通過該方案實(shí)現(xiàn)WebApp場(chǎng)景防護(hù)的同時(shí),在技術(shù)實(shí)現(xiàn)上也需要不斷迭代優(yōu)化來滿足更多元的業(yè)務(wù)場(chǎng)景需求。例如對(duì)于JS相關(guān)邏輯用更高效的混淆方式來避免繞過風(fēng)險(xiǎn),對(duì)引入的JS資源做好緩存/優(yōu)化策略提升業(yè)務(wù)性能與用戶體驗(yàn)等。
對(duì)于NativeApp而言,則可以通過SDK集成方式來驗(yàn)證、采集端側(cè)信息。但無論是哪種方式、場(chǎng)景,都需要有更完善的誤傷評(píng)估、監(jiān)控體系來保障防護(hù)的精準(zhǔn)性。對(duì)于無法準(zhǔn)確識(shí)別惡意BOT流量的情況,也需要更豐富的柔性處置策略,來實(shí)現(xiàn)對(duì)流量的進(jìn)一步過濾校驗(yàn)。
5.3 策略事前布局
預(yù)防為主,防治結(jié)合,這是人類應(yīng)對(duì)疾病威脅的重要方針,在網(wǎng)絡(luò)安全世界中也同樣適用。HTTP DDoS攻擊發(fā)生時(shí)往往來勢(shì)洶洶,事先并沒有任何征兆。這就意味著事中、事后的處置策略對(duì)當(dāng)前攻擊通常只能起到應(yīng)急補(bǔ)救的效果。因此,對(duì)于存在攻擊風(fēng)險(xiǎn)的業(yè)務(wù),提前梳理業(yè)務(wù)資產(chǎn),預(yù)先進(jìn)行策略布局就顯得更為重要。
為了實(shí)現(xiàn)這個(gè)目標(biāo)可從兩方面著手:一個(gè)是與業(yè)務(wù)團(tuán)隊(duì)緊密配合,做好宣傳引導(dǎo),在WAF產(chǎn)品中對(duì)關(guān)鍵目標(biāo)資產(chǎn)實(shí)現(xiàn)HTTP DDoS防護(hù)策略的事前配置;另一個(gè)是強(qiáng)化WAF的自動(dòng)化分析能力,對(duì)承載業(yè)務(wù)的目標(biāo)資產(chǎn)、負(fù)載能力、報(bào)文特征等數(shù)據(jù)進(jìn)行自動(dòng)化統(tǒng)計(jì)分析,輸出對(duì)應(yīng)的防護(hù)策略,對(duì)生產(chǎn)的策略效果進(jìn)行實(shí)時(shí)評(píng)估、校準(zhǔn),在提升防護(hù)效果的同時(shí)也能大幅降低策略運(yùn)營成本。
六、關(guān)于火山引擎WAF團(tuán)隊(duì)
火山引擎WAF團(tuán)隊(duì)由業(yè)界資深安全專家組成,基于多年的Web安全攻防經(jīng)驗(yàn)積累,為抖音、今日頭條等業(yè)務(wù)提供持續(xù)的安全保障。同時(shí),結(jié)合智能化分析、自動(dòng)化對(duì)抗等多維能力手段,為火山引擎客戶提供專業(yè)、可靠、全方位的Web安全防護(hù)服務(wù)。(作者:張麗)
