全文共1073字,阅读大约需2分钟。
近期,业界被一起超大规模的DDoS攻击所震动,该攻击每秒请求高达3.98亿次,创下新的历史纪录。值得关注的是,此次罕见的大规模攻击是基于HTTP/2的Rapid Reset功能来实施的。面对此种破坏性级强的攻击手段,绿盟科技抗拒绝服务系统(NSFOCUS ADS)已经整合并应用了多种尖端的防护技术,构建了稳固的联合防护机制,有力地减轻了攻击的影响。为此,绿盟科技建议各业务单位依据自身需求,及时采纳和启用防护方案。
HTTP/2 协议的广泛应用
HTTP/2标志着HTTP协议的创新进步,主推卓越的网页性能和更快的加载速度。相较于HTTP/1.1,其采用了多路复用技术,允许并行处理多个请求与响应,大幅缩短了延迟时间。更进一步,HTTP/2结合了头部压缩与服务器推送功能,显着优化了数据传输效率。得益于这些优势,HTTP/2正逐渐被各大网站和应用所采用,预示着互联网新时代的到来。
然而,HTTP/2的广泛应用也带来了新的安全挑战。
高效性能背后的安全隐患
为追求极致的处理性能,HTTP/2不仅支持响应并发的TCP请求,并允许在服务器响应前快速重置流(RST_Stream)以节省带宽。攻击者捕捉到了这一点。他们频繁的向服务器发起大量请求,而在服务器即将响应时迅速发起重置,强迫服务器在高速处理请求的同时还得快速进行流的重置。这种策略使得服务器的资源迅速耗尽,成功发起DDoS攻击。早前,攻击者还通过多流请求大量数据,并操纵窗口的大小与流的优先级,迫使服务器一字节地排队数据,以此耗尽资源。与之类似的还有不停地向HTTP/2节点发送ping,导致对端积压响应,消耗大量CPU和内存,从而导致服务器无法响应。
绿盟抗拒绝服务系统(NSFOCUS ADS)防护建议
会话拦截
为应对这些攻击,我们首先在会话层面采取措施,通过限制新建连接和并发数来抵御频繁的异常请求,从而拦截异常会话。
HTTP/2防护算法
对于伪装成正常但频次较低的大规模攻击,单靠会话控制是不足够的。在2022年,绿盟科技抗拒绝服务系统(NSFOCUS ADS)就已经针对HTTP/2的特性推出了六大防护算法。经过一年的实战应用与市场检验,我们已积累了丰富的防护经验。
我们所采用的算法能够精准地辨别客户端的真实性,确保恶意请求无法通过。同时,我们还支持根据防护算法发送探测帧进行防护,并对HTTP/2帧进行RFC校验,以过滤部分非标准请求。在ADS的防护策略保护之下,伪造的请求无法触及服务器,确保服务器资源得到妥善使用,不被恶意消耗。
在科技飞速进化的背景下,新技术的涌现总是伴随着新的挑战。HTTP/2的出现无疑为我们的网络体验带来了飞跃,但同时也揭示了新的安全隐患。而绿盟科技抗拒绝服务系统(NSFOCUS ADS)始终密切关注业界的发展动态和安全威胁,站在技术前沿,持续研发先进的防护策略,致力于为客户提供先进、高效、稳固的防护方案。
点击“阅读原文”了解绿盟科技抗拒绝服务系统(NSFOCUS ADS)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...