HTTP 流量主導著互聯網。數據中心也經歷了大量的 HTTP 流量，許多企業看到越來越多的收入來自在線銷售。然而，隨著流行度的增長，風險隨之增長，并且就像任何協議一樣，HTTP 很容易受到攻擊。創新互聯將為您描述針對 HTTP 服務器發起的常見 DDoS 攻擊。

首先，HTTP 通過 TCP 運行。因此，Web 服務器可能面臨許多與 TCP 相關的攻擊。在規劃 HTTP 服務保護時，請務必記住，攻擊面比 HTTP 協議更廣泛。今天任何 DDoS 攻擊都使用多個向量來創建拒絕服務，為了防止它，人們應該能夠保護所有這些向量。

　　一、常見的 TCP 網絡攻擊

• SYN 泛濫- 可能是其中最古老的，但在大多數攻擊中仍然用作矢量。攻擊者正在發送許多發送到服務器的 SYN 數據包。由于攻擊不需要查看返回流量，因此 IP 不必是真實的，通常是欺騙性 IP。這使得更難理解攻擊的來源，并幫助攻擊者保持匿名。這些年來，SYN 攻擊技術仍在發展之中。

SYN 攻擊背后的主要思想是發送大量 SYN 數據包以耗盡為 TCP IP 堆棧中分配的內存。多年來，SYN 攻擊變得越來越復雜。最新的變種是 Tsunami SYN Flood Attack，它使用帶有 TCP SYN 位的大數據包來飽和互聯網管道，同時對 TCP IP 堆棧造成并行損壞。

•  除了 SYN 泛洪之外，TCP 網絡攻擊正在利用所有其他 TCP，ACK 泛洪、RST 泛洪、推送 - 發送泛洪、FIN 泛洪及其任何組合都在各種攻擊中使用。攻擊者將嘗試一切，只要它有可能造成破壞。

HTTP L7 攻擊面很廣。HTTP L7 攻擊與上述網絡攻擊之間的主要區別在于，HTTP 事務需要有效的 IP - 不能欺騙 HTTP 請求的 IP，因為 TCP 握手需要 IP 接受并響應包。如果您不擁有 IP，則永遠無法建立連接。這種差異曾經給想要使用 HTTP 攻擊的攻擊者帶來了很大困難，然而在當今世界，最近的物聯網僵尸網絡統治著它的攻擊面，擁有大量的真實 IP 地址不再被視為不可能的挑戰。從真實 IP 地址建立連接后，可以使用多種選項進行攻擊：

• 垃圾洪水 - 最不復雜的攻擊媒介是打開與 HTTP 端口(通常是端口 80 或 443)的連接，以向其發送垃圾二進制數據。這種攻擊通常在緩解中被忽略，因為服務器以及保護它的安全設備期望 “有效” 的 HTTP 流量。此攻擊的目的通常是在 Web 服務器中，甚至在其前面的緩解設備中泛洪內部緩沖區和隊列。這種攻擊有時也會用來使互聯網管道飽和，盡管有更容易的攻擊技術。

• GET 泛洪 - HTTP 協議的最常見用法是 GET 請求。GET 泛洪使用相同的 GET 請求方法，但數量很大。攻擊者試圖使服務器過載并停止提供合法的 GET 請求。此攻擊通常遵循 HTTP 協議標準，以避免使用 RFC fcompliancy 檢查進行緩解。

• 其他 HTTP 方法 - 除了常見的 GET 方法之外，HTTP 協議也允許其他方法，例如 HEAD，POST 等。使用這些方法的攻擊通常與 GET 泛洪并行使用，以便嘗試攻擊服務器代碼中較不常見的區域。POST 請求通常比 GET 請求大，因此大型 POST 請求比大型 GET 請求更不可疑，并且更有可能通過保護它的緩解設備不會注意到服務器。這允許服務器上更多的內存消耗，并且更多的機會拒絕服務。

• 反向帶寬泛濫 - 這些攻擊試圖讓服務器發送流量，使服務器的上行鏈路飽和到局域網或互聯網。即使服務器只有一個大頁面，攻擊者也可以為此特定頁面發送許多請求。這將使服務器一次又一次地發送它并使服務器自己的上行鏈路連接飽和。此技術用于避免從緩解設備進行檢測，緩解設備通常測量入站流量以進行飽和，而不是始終測量出站流量。

• HTTP 模糊和非行為字段 - 這些攻擊在特定 HTTP 協議字段上發送垃圾或錯誤值。攻擊將發送 G3T 請求(而不是 GET 請求)，在 HTTP 版本 1,1(而不是 HTTP 1.1)上發送流量，依此類推。另一種選擇是在通信中的字段位置使用隨機值。攻擊者試圖使 Web 服務器崩潰，如果服務器沒有檢查這些輸入值的有效性，就會發生這種情況。請注意，與先前的攻擊不同，此攻擊不必消耗高流量或高 PPS - 它試圖在緩解設備 “雷達” 下造成損害。

• 低速和慢速攻擊 - 這些攻擊比使用模糊器消耗更低的 BW 和 PPS。攻擊使用非常少的流量，因此很難檢測到。此攻擊發送的是合法的 HTTP 流量，但速度非常慢。攻擊將使用許多小數據包發送 GET 請求，它們之間有很大的時間間隔。雖然這是根據 HTTP 和 TCP 協議的合法行為，但這種行為消耗了服務器的大量資源 - 它需要保持連接打開，等待完整的請求到達。由于連接池有限，因此很容易達到游泳池飽和度，而且流量非常小。

• 緩存繞過攻擊 - 如今許多 Web 服務器都落后于 CDN，允許更快地將內容傳遞給全球的全球用戶。CDN 給服務器所有者帶來了錯誤的安全感，因為他們希望 CDN 在到達服務器之前阻止任何洪水。但是，通過發送對不可緩存內容的請求，可以輕松繞過 CDN 安全措施。對動態內容以及不存在的內容的請求將使 CDN 到達服務器?？梢允褂帽疚闹忻枋龅乃泄魜砉舴掌?，并且 CDN 實際上將用作攻擊本身的一部分。

• OWASP 排名前 10 位的攻擊 - 除了上述攻擊之外，還有拒絕服務攻擊，還有更多的 HTTP 攻擊深入到 HTTP 協議中，并嘗試從服務器獲取其他資產。諸如跨端腳本、SQL 注入等攻擊試圖使服務器提供它不應該服務的內容。這種性質的前 10 名攻擊被稱為 OWASP 前 10 名。這些通常不是拒絕服務攻擊，Web 應用程序防火墻(WAF)為它們提供了好緩解。WAF 可以作為本地設備或云中的服務有效。

二、其他攻擊

值得注意的是，保護 Web 服務本身并不足以保證服務。其他攻擊仍然可能導致服務中斷。一個例子是通道飽和攻擊，即使 UDP 垃圾流量與 HTTP 無關。另一次攻擊是最近發現的 SMB 攻擊。所有這些攻擊都針對 Web 服務器周圍的服務 - 互聯網通道，同一設備提供的其他非 HTTP 服務等，以便創建拒絕服務。

另一種類型的攻擊是攻擊用于將域轉換為 IP 地址的 DNS 服務器。這種方法在 2016 年 10 月使用 Mirai 僵尸網絡在著名的 Dyn 攻擊中使用。值得注意的是，攻擊者能夠對 Twitter 和亞馬遜等大型網站進行拒絕服務，而不會向網站的方向發送任何數據包。相反，攻擊者攻擊了允許用戶訪問這些網站的互聯網基礎設施 - 他們攻擊了作為這些服務的 DNS 提供商的 Dyn，并導致網站進入拒絕服務狀態。

三、使用香港高防服務器、高防IP 防御 HTTP 攻擊

有許多 HTTP 攻擊可能導致拒絕服務。緩解這些攻擊的好方法是選擇可以處理所有這些攻擊的保護服務，例如香港高防服務器、高防IP 等。建立真正的 HTTP 攻擊防護的僅有方法是使用專精的高防服務，這些服務隨著時間的推移而發展。例如創新互聯高防服務器">香港高防服務器，可以全面防御超過 25 種 DDoS 變種攻擊及其任意組合，防御峰值高達 310Gbps。擁有香港高防服務器只是成功的一半。與以安全為中心的公司合作非常重要，創新互聯可以提供受到攻擊的專家建議，并發展和開發其工具來應對不斷演變的攻擊。對于 Web 服務以及整個互聯網，每一秒都很重要。保持站點始終運行并非易事，但可以使用正確的產品來完成。

新聞標題：HTTP攻擊有哪些類型以及怎樣防御
本文網址：http://m.kartarina.com/news19/266269.html

成都網站建設公司_創新互聯，為您提供網站營銷、移動網站建設、電子商務、動態網站、網站維護、外貿網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯