梭子鱼WEB应用防火墙数据防泄漏实战系列(二)
——针对Web服务器的DoS攻击及对应安全防护

来源:kaiyun体育官方人口   作者:杨洋
2012/2/20 11:16:20
与正常访问相比,DoS(Denial-of-Service,拒绝服务)攻击并没有突出的特征,因而一直以来都比较缺乏有效的防护手段。

本文关键字: 梭子鱼 防火墙 数据 泄漏

与正常访问相比,DoS(Denial-of-Service,拒绝服务)攻击并没有突出的特征,因而一直以来都比较缺乏有效的防护手段。对网站而言,除了一般的网络层攻击,还必须应对应用层的各种攻击手段。

网络层DoS攻击通常都是通过海量数据传输消耗网站的接入带宽,从而干扰甚至阻止普通用户对网站的正常访问,因而也被称为"带宽型攻击"。这一类攻击非常直观,被攻击服务器及相关的网络设备上都能够检测出明显的流量异常,而且随着网络接入带宽的快速增长和路由器防火墙等网络设备的部署和发展,对这一类攻击的识别和防护已经有了长足的进步,位于DMZ(Demilitarized Zone,非军事区)的Web服务器已经能够在很大程度上避免受到侵害。

与此同时,由于网络应用的快速发展和丰富,Web服务器需要承载的功能越来越多,其对系统资源的消耗和需求也越来越高,从而使得应用层DoS攻击逐渐成为主流。与网络层DoS攻击对带宽的侵蚀不同,应用层DoS攻击的目标是主机系统,以消耗系统运算和内存等资源为目的。针对Web服务器的应用层DoS攻击可以从多方面进行:攻击者可以同时发起各种服务,可以发出海量访问请求,可以维持大量活动连接,可以建立很多会话,也可以发出恶意请求造成服务器出现缓冲区溢出。这些攻击都是基于HTTP协议而精心设计的,因此如果不能深刻理解HTTP协议并识别具体的访问请求,对目标Web服务器的防护将很难进行。

由于传统上基于数据包的检测通常都无法识别出应用层DoS攻击,基于路由器、防火墙或IPS的防护措施对此大都无能为力,即使是专门的"流量清洗"设备,其作用也非常有限。与此同时,梭子鱼则凭借先进的技术和深厚的积累提供了一个全面的解决方案:Web应用防火墙。梭子鱼Web应用防火墙为Web服务器提供了全面的安全保护,针对应用层DoS攻击的防护措施包括:

● 反向代理的工作模式

通过建立虚拟服务器对外服务,将真实的Web服务器隐藏,并只转发设定端口(例如80/443等)的访问请求,从而减轻Web服务器的处理负担。

● 队列控制

控制从单个IP地址发起的并发访问量,并维持访问队列,从而限制单个用户对系统资源的占用。

● 访问频率控制

如果某个源地址访问网站的频率超过设定门槛,源自该地址的访问将被阻断。

● 会话跟踪

如果某个地址访问网站时在一定时间内新建应用会话的数量超过设定门槛,该地址将不能继续新建任务会话。

● HTTP请求限制

限制HTTP请求中各参数的长度。这些限制能够屏蔽恶意访问,使Web服务器只对正常请求作出回应。

通过综合运用上述保护手段,梭子鱼Web应用防火墙能够显著提高Web服务器对应用层DoS攻击的防御能力,保证网站正常运行。

责编:张鹏宇
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map