HTTPS攻擊原理:
HTTP/HTTPS攻擊俗稱WEB CC����,是一種常見的網站攻擊方法���。是針對Web 服務在第七層協議發起的攻擊����。
攻擊者相較其他三層和四層��,并不需要控制大量的肉雞�����,取而代之的是通過端口掃描程序在互聯網上尋找匿名的 HTTP 代理或者 SOCKS 代理���,攻擊者通過匿名代理對攻擊
目標發起HTTP 請求�。本文并結合傲盾異常流量清洗系統(KFW)相關功能給出具體防御策略和配置�����,幫助您有針對性地防御HTTPS攻擊����。
傲盾應用安全特性:
應用安全特性是傲盾異常流量清洗系針對HTTP/HTTPS攻擊開發專用防護插件��。傲盾異常流量清洗系統通過應用安全特性可為防護對象提供下述防御功能:
● HTTPS 證書加/卸載
● HTTP/HTTPS透明轉發
● HTTP/HTTPS反向代理轉發
● HTTP/HTTPS 攻擊分析
● HTTP/HTTPS CC攻擊防御
● HTTP/HTTPS 自定義特征防御
● HTTP/HTTPS 黑白名單過濾
01HTTPS 證書加/卸載
應用安全特性中允許管理員上傳用戶HTTPS證書至清洗系統����。在HTTPS站點防御中,首先需要配置用戶證書上傳���。
02HTTP/HTTPS透明代理轉發
異常流量清洗系統串接部署場景中支持網站透明轉發。在透明轉發中�,針對HTTP站點,清洗系統通過*.*可實現所有域名全代理轉發�;針對HTTPS站點需要上傳證書,
配置HTTPS域名轉發規則���,實現HTTPS透明轉發���。透明轉發不需要用戶變更域名解析地址��。
03HTTP/HTTPS反向代理轉發
異常流量清洗系統在旁路或串接部署場景中支持反向代理轉發��。
在反向代理轉發中����,需提前為清洗系統配置轉發、回源地址池���。清洗系統使用轉發IP對外提供反向代理服務,使用回源IP與源站進行通信���,提高反射代理新建���、并發連接性能。
應用安全反向代理轉發中�����,可同時實現7層負載均衡與HTTPS證書加/卸載�。
圖:應用安全反向代理轉發配置
04HTTP/HTTPS 攻擊分析
應用安全攻擊分析,可實時解析實時HTTP/HTTPS通信數據��,并生成以下述維度分析供用戶決策�。
1.TOP URL分析
2.HTTP 響應分析
3.HTTP 請求方法分析
4.User-Agent分析
5.REFERER分析
6.客戶端流量分析
7.客戶端連接分析
8.協議等其它分析
每項條分析記錄均可通過【防護】操作直接帶入自定義策略����。
05HTTP/HTTPS CC攻擊防御
應用安全集成人機識別插件,可自動識別訪客身份����。支持JavaScripts、Set-Cookie人機識別算法��,支持客戶端并發連接�、空連接限制����。
06HTTP/HTTPS 自定義特征防御
應用安全自定議特征防御,支持下述維度特征過濾�,支持由攻擊分析紀錄中導入過濾項。
| 過濾項 |
說明 |
| Method |
HTTP/HTTPS請求方法過濾�����,支持GET����、POST、HEAD�����、PUT���、OPTION、CONNECT�����、DELETE頻率限制�����、加黑加白源地址�����。 |
| URL |
HTTP/HTTPS 請求地址過濾�,支持匹配、包含��、不匹配�����、不包含設置的URI地址��,支持頻率限制���、加黑加白源地址。 |
| 源IP |
支持IP范圍(網絡地址/前綴)訪問頻率限制����,加黑加白源地址。 |
| Referer |
HTTP/HTTPS 請求報文中Referer字段值過濾���,支持匹配�、包含��、不匹配����、不包含設置的Referer值,支持頻率限制�����、加黑加白源地址��。 |
| User-Agent |
HTTP/HTTPS 請求報文中User-Agent字段值過濾��,支持匹配�、包含����、不匹配�、不包含設置的User-Agent值,支持頻率限制�����、加黑加白源地址�����。 |
| Content-Length |
HTTP/HTTPS 請求報文中Content-Length字段值過濾,支持等于���、小于、大于設置的Content-Lengtht值����,支持頻率限制、加黑加白源地址���。 |
| Host |
HTTP/HTTPS 請求報文中Host字段值過濾�,支持匹配���、包含、不匹配�����、不包含設置的Host值���,支持頻率限制����、加黑加白源地址。 |
| HTTP Code |
HTTP/HTTPS 響應報文中HTTP Code字段值過濾���,支持等于���、小于�����、大于設置的HTTP Code值���,支持頻率限制����、加黑加白源地址���。 |
| HTTP Version |
HTTP/HTTPS 請求報文中HTTP版本字段值過濾,支持頻率限制�、加黑加白源地址�。 |
07HTTP/HTTPS 黑白名單過濾
應用安全提供專用黑、名單過濾�。
應用安全WEB防御案例:
某用戶HTTPS站點�,近期頻繁出現主站無法訪問��,服務器CPU�、內存占用居高不下�����。命令行中可查看到大量長連接����。
接到用戶報障后,安全工程師通過下述步驟快速恢復了該站點的訪問��。
1.在異常流量清洗系統為該用戶配置了HTTPS透明轉發規則
2.通過應用安全功能進行攻擊分析�,發現黑客在進行隨機URL泛洪攻擊,無法提取高頻URL特征�����,限制訪問路徑/upload易出現誤封不合適�����,需要使用人機識別插件�。
3.為該站配置CC攻擊防御�,使用JavaScripts 人機識別算法���,同時限制客戶端對服務器最大并發連數為100����,空連接數為30���。
4. 策略配置1分后,客戶主站業務恢復���,應用安全加黑地13729條
返回首頁>>
