网上说到服务器清洗,服务器秒清洗这类的词语。但是不知道具体是什么意思。今天就由防御吧小编给大家讲解下服务器被攻击秒清洗是什么意思。
“清洗”是指流量清洗,流量清洗服务是对客户的数据流量进行实时的监控,并在监控中及时发现异常流量,比如DDOS攻击、CC攻击等。在不影响正常业务的前提下,清洗掉异常流量,保证客户业务的正常运行。也就是说,我们是根据攻击的分析,把流量中的异常剔除出去,这样就保证了服务器的正常访问,所谓清洗就是把那些符合攻击的流量清洗掉,只留下正常的用户访问流量。秒清洗又有什么说法呢?攻击流量过大的情况下,异常流量就会积累很大,如果不能秒清洗掉,那么整个服务器都会受到影响。这时候秒清洗就有很大的作用了。
简单点来说,清洗是指将流量从原始网络路径中重定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减轻攻击对服务器造成的损害,但对流量中正常的部分可能造成损伤。
抗DDoS攻击流量清洗系统由攻击检测、攻击缓解和监控管理三大部分构成。检测系统首先通过检测网络流量中隐藏的非法攻击流量,发现攻击后及时通知并激活防护设备进行流量的清洗;缓解系统通过专业的流量清洗功能,将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离,还原出的合法流量回注到原网络中转发给目标系统,其它合法流量的转发路径不受影响;监控管理系统实时展现DDOS攻击数据流量,流量清洗报表,实时连接数、请求数、带宽报表等数据。
常见的清洗方法
1.IP信誉检查
IP信誉机制是指为互联网上的IP地址赋予一定的信誉值,那些过去或现在经常被作为僵尸主机发送垃圾邮件或发动拒绝服务攻击的IP地址会被赋予较低的信誉值,说明这些IP地址更有可能成为网络攻击的来源。
IP信誉检查的极端情况就是IP黑名单机制,即如果数据包的来源存在于黑名单当发生分布式拒绝服务攻击时,流量清洗设备会对通过的网络流量进行IP信誉检查,在其内部的IP地址信誉库中查找每一个数据包来源的信誉值,并会优先丢弃信誉值低的IP地址所发来的数据包或建立的会话连接,以此保证信誉高的IP地址与服务器的正常通信。
2.攻击特征匹配
在大多数情况下,发动分布式拒绝服务攻击需要借助攻击工具。为了提高发送请求的效率,攻击工具发出的数据包通常是由编写者伪造并固化到工具当中的,而不是在交互过程中产生的,因此一种攻击工具所发出的数据包载荷会具有一些特征。流量清洗设备可以将这些数据包载荷中的特征作为指纹,来识别工具发出的攻击流量。指纹识别可以分为静态指纹识别和动态指纹识别两种。静态指纹识别是指预先将多种攻击工具的指纹特征保存在流量清洗设备内部,设备将经过的网络数据包与内部的特征库进行比对,直接丢弃符合特征的数据包;动态指纹识别则需要清洗设备对流过的网络数据包进行学习,在学习到若干个数据包的载荷部分之后,将其指纹特征记录下来,后续命中这些指纹特征的数据包会被丢弃,而长期不被命中的指纹特征会逐渐老化直至消失。
3.速度检查与限制
一些攻击方法在数据包载荷上可能并不存在明显的特征,没有办法进行攻击特征匹配,但却在请求数据包发送的频率和速度上有着明显的异常。这些攻击方法可以通过速度检查与限制来进行清洗。
例如,在受到THC SSL DoS攻击时,会在同一个SSL会话中多次进行加密密钥的重协商,而正常情况下是不会反复重协商加密密钥的。因此,当流量清洗设备进行统计时,如果发现SSL会话中密钥重协商的次数超过了特定的阈值,就可以直接中断这个会话并把来源加入黑名单中。再如,在受到Slowloris和慢速POST请求攻击时,客户端和服务器之间会以非常低的速率进行交互和数据传输。流量清洗设备在发现HTTP的请求长时间没有完成传输时,就可以将会话中断。此外,对于UDP洪水攻击等一些没有明显特征、仅通过大流量进行攻击的方法,可以通过限制流速的方式对其进行缓解。
4.TCP代理和验证
SYN洪水攻击等攻击方式都是利用TCP协议的弱点,将被攻击目标的连接表占满,使其无法创建新的连接而达到拒绝服务攻击的目的。流量清洗设备可以通过TCP代理和验证的方法来缓解这种攻击造成的危害。在一个TCP SYN请求到达流量清洗设备后,设备并不将它交给后面的服务器,而是直接回复一个SYN+ACK响应,并等待客户端回复。如果SYN请求来自合法的用户,那么他会对SYN+ACK进行响应,这时流量清洗设备会代替用户与其保护之后,合法的用户和服务器之间就可以透过流量清洗设备,进行正常数据通信。对于用户来说整个过程是完全透明的,正常的交互没有受到任何影响。的服务器建立起TCP连接,并将这个连接加入信任列表当中。
而如果这个SYN请求来自攻击者,那么他通常不会对SYN+ACK进行应答,从而形成半开连接。这样流量清洗设备会暂时保留这个半开连接,并在经过短暂的超时时间之后丢弃这个连接
相比于所保护的服务器,流量清洗设备对连接表操作进行了专门优化,能够处理极其庞大的连接请求数量,因此即使有非常多的SYN请求同时涌向清洗设备,清洗设备也能够处理。在这个过程中,由于清洗设备拦截在被保护的服务器之前,服务器并没有消耗任何的连接资源,因此保证了服务器的性能不受影响。
流量清洗设备在作为TCP代理进行防护时,除了拦截半开连接外,还可以进行TCP协议的一些交互式验证。例如,在收到第一个SYN请求时,通过直接丢弃、发送RST包或发送错误序列号的ACK包的方式来中断连接过程,并检查客户端是否重新发起连接请求。通过这种验证,也可以识别并丢弃许多不合法的连接。
5.协议完整性验证
为了提高发送攻击请求的效率,大多数的攻击方法都会只发送攻击请求,而不接收服务器响应的数据,或者无法完全理解和处理响应数据。因此,如果能够对请求来源进行交互式验证,就可以检查请求来源协议实现的完整性。对于协议实现不完整的请求来源,通常可以将其作为攻击主机丢弃其发送的数据。在DNS解析的过程中,如果域名解析请求获得的响应数据中Flags字段的Truncated位被置位,通常客户端就会使用TCP 53端口重新发送域名解析请求。
而攻击者使用的攻击工具由于不接收或不处理解析请求的响应数据,也就不会使用TCP 53端口进行重新连接。流量清洗设备可以利用这个区别来有效地区分合法用户与攻击者,拦截恶意的DNS攻击请求
对于提供HTTP服务的Web服务器,也可以使用类似的方式进行协议完整性验证。例如,可以使用HTTP协议中的302重定向来验证请求的来源是否接收了响应数据并完整实现了HTTP协议的功能。HTTP的302状态码表示被请求的资源被临时转移,并会给出一个转移后的地址。正常的合法用户在接收到302重定向后会顺着跳转地址寻找对应的资源
而攻击者的攻击工具由于不接收或不处理响应数据,则不会进行跳转,因此攻击请求会被清洗设备拦截,Web服务器不会受到任何影响
6.客户端真实性验证
进行协议完整性验证能够清洗掉一部分简单的攻击工具所发送的攻击流量,但是,一些攻击工具在开发过程中使用了现成的协议库,这样就能够完整实现协议交互,通过协议完整性检验。对于这些攻击工具,需要使用客户端真实性验证技术进行攻击流量清洗。客户端真实性验证是指对客户端程序进行挑战–应答式的交互验证,检查客户端能否完成特定的功能,以此来确定请求数据是否来自真实的客户端。对基于页面的Web服务,可以通过检查客户端是否支持java script来验证请求是否来自真实的浏览器客户端。当收到HTTP请求时,流量清洗设备会使用java script等脚本语言发送一条简单的运算操作。如果请求是由真实的浏览器发出的,那么浏览器会进行正确运算并返回结果,流量清洗设备进行结果验证后就会让浏览器进行正确运算并返回结果,流量清洗设备进行结果验证后就会让浏览器跳转到Web服务器上真正的资源位置,不会影响正常用户的访问,而如果请求是由攻击者通过攻击工具发送的,由于大部分工具没有实现java script的解析和执行功能,因而不能返回正确的运算结果,流量清洗设备会直接丢弃这些请求,而不会给出跳转到Web服务器的连接,因此Web服务器不会受到影响。
现在发起DDOS攻击越来越简单化,攻击工具越来越智能化,在面对越来越复杂的网络安全环境,企业单纯的通过服务器架构优化等常规手段已经无法保障企业的网络安全。企业一定要提前做好安全防护措施,接入专业的抗流量攻击的服务或服务器。
服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,我们推出的付费增值服务。您可通过配置高防CDN,将攻击流量清洗,确保服务器的稳定可靠。
另外更多高防服务器的信息 欢迎咨询防御吧官网。