Web應用防火墻中分布式拒絕服務攻擊防范策略

洪燕璇

摘? 要：對Web應用防火墻中分布式拒絕服務攻擊防范策略進行了探討，對應用層分布式拒絕攻擊檢測防御技術的研究現狀進行了詳細的闡述，并重點研究了可用于檢測和防御基于HTTP協議的分布式拒絕攻擊的方法，以供參考。

關鍵詞：Web應用;防火墻;防御技術;防范策略

中圖分類號：TP393.08?????????? 文獻標識碼：A?? ????????????文章編號：2095-6835（2014）23-0149-02

Web應用防火墻，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。而分布式拒絕服務攻擊是近年來出現的一種網絡攻擊，它給網絡的正常運行帶來了極大的危害。因此，為了保障web應用的安全，就需要對分布式拒絕攻擊進行防范?；诖?，本文就web應用防火墻中分布式拒絕服務攻擊防范策略進行了探討。

1? 應用層DDoS攻擊檢測防御技術研究現狀

根據對應用層DDoS攻擊檢測防御方法的研究分析，我們可以把這些方法分為兩類，分別是平穩背景流下的APP-Flood攻擊檢測防御方法和突發背景流下的APP-Flood攻擊檢測防御方法。

平穩背景流下的APP-Flood攻擊檢測方法主要有：①Lu Wei-Zhou等利用隱半馬爾可夫模型來描述Web服務器的模式，并檢測基于應用層HTTP協議的DDoS攻擊。他們先用大量合法的請求序列來訓練HsMM，并用這個合法的模型來檢測每個請求序列。當網絡流量的或然概率值偏離正常區間時，就認為這是一個攻擊。②基于時間序列分析的Web服務器DDoS攻擊檢測方法。③基于可信度的APP-DDoS攻擊防御方法。

突發背景流下的APP-Flood攻擊檢測防御方法主要有基于Web用戶瀏覽行為的統計異常檢測方法、可以同時用于防御突發流和平穩流下的APP-Flood攻擊的方法。

2? HTTP-Flood攻擊分析

基于應用層協議的DDoS攻擊，是一類利用TCP/IP協議棧高層協議的漏洞發起的攻擊。相對于低層協議而言，高層協議具有多樣性和復雜性的特征，同時，由于高層協議的應用離不開低層協議的支持，所以基于髙層協議的DDoS攻擊的低層協議特征完全正常，傳統的基于低層協議特征的檢測方法將不再適用，這使得基于應用層的DDoS攻擊的破壞力遠大于傳統網絡層DDoS攻擊。

2.1? HTTP協議

超文本傳輸協議是一個屬于應用層的面向對象的協議，它一般用于從Web服務器端傳送超文本標記語言文件到客戶端瀏覽器，并且定義了客戶端瀏覽器和Web服務器之間的會話過程，是互聯網上最常見的協議之一。

2.2? HTTP-Flood攻擊的原理和分類

HTTP-Flood攻擊的主要目標是Web服務上的網頁。攻擊時，攻擊者向服務器發送大量的高頻請求，使服務器忙于向攻擊者提供資源而無法響應其他合法用戶的服務請求。攻擊過程中的單個請求基本與正常的HTTP訪問過程一樣，但當海量的單個請求同時發生時，HTTP-Flood攻擊也就隨之產生了，造成的后果就是Web服務器拒絕服務。HTTP-Flood攻擊一般可分為兩類：①請求泛洪攻擊。這種攻擊形式是通過發送大量合法的HTTP請求來占用目標網絡的帶寬或者消耗服務器的資源，使正常用戶無法進行Web訪問。②高消耗請求攻擊。這種攻擊的形式就是攻擊者通過不斷訪問Web服務器上高耗資源的網頁，造成服務器的資源被消耗殆盡，從而拒絕服務。

2.3? HTTP-Flood與其他DDoS攻擊的對比分析

2.3.1? 與SYN-Flood攻擊的對比分析

SYN-Flood攻擊是目前最流行的DDoS攻擊之一，它的主要原理是利用TCP協議來偽造客戶端與攻擊目標建立TCP連

接，但只是發送SYN包，而不建立完整的連接，讓目標主機維持大量的半開連接而消耗掉自身的資源。

2.3.2? 與LDoS攻擊的對比分析

低速率拒絕服務攻擊是一類新型攻擊，主要是利用端系統或網絡中常見的自適應機制所存在的安全漏洞，通過低速率周期性攻擊流，以更高的攻擊效率對受害者進行破壞。

2.3.3? 與UDP-Flood攻擊的對比分析

UDP-Flood攻擊是基于UDP協議的DDoS攻擊，與HTTP-Flood攻擊最大的區別就是，它可以偽造源IP進行攻擊，并且它們基于的協議不一樣，一個是UDP協議，另外一個是TCP之上的HTTP協議。

3? DDoS攻擊防御技術的特點

3.1? 主機策略閾值配置

拒絕服務攻擊中防御模塊策略閾值可分為單包策略、安全域全局策略和主機策略3類。其中，主機策略配置的對象是被保護的IP地址。首先配置的內容為該安全域內IP地址的策略閾值。有需要時，可以單獨修改安全域內部某IP地址的閾值。

當安全域內服務器所提供的服務相差較大，不能用同一種策略閾值保護時，應該對單臺服務器作出調整。

3.2? 策略閾值自學習

為使用戶了解被保護對象的流量情況，并能方便、準確地配置策略閾值，內核拒絕服務攻擊防御模塊提供了策略閾值的學習接口。學習素材由內核模塊通過接口發送給用戶態的自學習程序，自學習程序以被保護主機的IP為單位學習各種策略閾值。默認狀態下，被保護主機的IP學習狀態為關閉，用戶可根據需要開啟需要被保護主機的IP學習狀態。當被保護主機的IP學習狀態開啟時，內核模塊將持續向用戶態的學習進程發送數據，最終由閾值學習進程計算得出參考閾值。

閾值學習過程進程最快可在1 h內得出閾值學習結果。但考慮到每種服務在不同時間段的流量變化較大，所以每種閾值的學習都以天為單位，同時，用戶可以査看和參考前N天的策略閾值。自學習的閾值涵蓋所有用戶可配置的策略閾值，插件模塊也可以通過自學習功能得到參考閾值。

自學習模塊具有極高的實際應用價值，解決了原有策略閾值需要反復調整才能穩定的問題。策略閾值的合理配置關系到判斷攻擊強度的準確性。在未知的網絡環境中，應當及時、準確地得出閾值;否則，基于閾值的攻擊防御算法的精確度將大打折扣。

3.3? IP信譽學習機制

IP信譽機制是拒絕服務攻擊防御模塊中一種重要的防御機制。在遭受大流量攻擊時，反復檢查和計算將消耗很多資源，嚴重時將影響正常用戶的數據包轉發速度。使用IP信用機制后，能有效保證正常用戶連接的帶寬，省略了復雜的檢査和計算過程，節省了系統資源;同時，IP信用單元記錄了真實IP地址的跳數，以防止真實的IP地址被攻擊流量冒用。

3.4? IP認證機制

1P認證機制是判斷源IP是否真實的過程。判斷原理是通過TCP超時時間間隔，檢查SYN或ACK重傳的間隔是否正確。

3.5? QoS限速

為了拒絕服務攻擊，防御模塊使用了簡單令牌桶算法來實現流量限速。QoS限速模塊實現了與其他模塊的低耦合狀態，可以為其他模塊提供以pps和bps為單位的限流量功能。在拒絕服務攻擊防御模塊中，每種策略閾值都會觸發忽略、丟棄和限速3種動作，這解決了在拒絕服務攻擊防御過程中有可能出現的誤判或漏判問題。

3.6? 拒絕服務攻擊插件

設計實現插件模塊的主要原因是為了滿足不同客戶對拒絕服務攻擊防御模塊功能組合的特殊需求。插件模塊是單獨編寫的內核模塊，以掛載和拒絕服務攻擊防御模塊中檢測點的方式來獨立完成特定的驗證和保護工作。

拒絕服務攻擊模塊中的3個檢測點，因其位置不同而具有不同的檢測功能。單包檢測點在流程中位置靠前，用來做單包特征檢測，不需考慮傳輸協議或會話等。有連接的檢測點在會話處理流程之后，主要用來檢測能夠成功建立會話的TCP協議數據;沒有連接的檢測點用來檢測非TCP的其他協議。

4? HTTP攻擊防御算法

Web服務器遭到拒絕服務攻擊后出現異常情況的主要表現有：Web服務器瞬時鏈接數量急劇增多、訪問Web服務器的IP數量急劇增多、部分IP訪問的頻率非常快、部分IP請求URL非常單一或者規律性非常明顯、服務器資源或者網絡資源被消耗殆盡。

5? Puzzle驗證算法

Puzzle算法的原理是劫持請求方會話，并向其發送驗證頁面，用戶需要在頁面答對問題才能通過驗證。驗證過程需要策略閾值的觸發。驗證過程開始后，HTTP保護模塊代替Web服務器向請求方發送頁面，且服務器原會話被重置。

用戶看到驗證頁面后，需要回答頁面中的數學問題，并將答案提交。如果HTTP保護模塊收到了正確答案，則該用戶驗證通過;如果會話超時或者回答錯誤次數超過定值后，則該用戶驗證失敗。

如果用戶驗證正確，HTTP保護模塊將發送一份帶有原請求URL的自動跳轉頁面，用戶將自動跳轉到原先請求的頁面;如果用戶多次驗證錯誤，用戶的頁面請求將被阻斷，用戶的IP信譽降低，并等待HTTP保護策略的超時。

HTTP Puzzle算法能有效驗證僵尸主機和CC的攻擊，對惡意代碼發起的頁面請求和GET/POST洪水攻擊有較好的保護和驗證效果。HTTP Puzzle算法的優點是驗證機制嚴格，可以有效抑制多數HTTP的攻擊，缺點是需要請求方配合，容易造成誤操作。

6? 結束語

綜上所述，分布式拒絕服務攻擊是近年來出現的一種網絡攻擊，它給網絡的正常運行帶來了極大的危害。而在理論上，除非修改TCP/IP協議的規范，否則是沒有辦法徹底解決分布式拒絕攻擊問題的。因此，我們需要及時采取防范策略，以保障Web應用的安全。

參考文獻

[1]吳偉姣.分布式拒絕服務攻擊與防范策略詳探[J].中國科技信息，2008（01）.

[2]鄭維銘.分布式拒絕服務攻擊原理及實驗[J].才智，2009（30）.

〔編輯：王霞〕

Web Application Firewall in Distributed Denial of Service Attack Prevention Strategy

Hong Yanxuan

Abstract： The Web application firewall in distributed denial of service attack prevention strategies were discussed， distributed denial of the application layer attack detection defense technology research status carried out in detail， and can be used to focus on the detection and prevention based on the HTTP protocol distributed denial of attack methods， for reference.

Key words： Web application; firewall; defense technology; prevention strategies