与正常访问相比,DoS(Denial-of-Service,拒绝服务)攻击并没有突出的特征,因而一直以来都比较缺乏有效的防护手段。对网站而言,除了一般的网络层攻击,还必须应对应用层的各种攻击手段。
网络层DoS攻击通常都是通过海量数据传输消耗网站的接入带宽,从而干扰甚至阻止普通用户对网站的正常访问,因而也被称为“带宽型攻击”。这一类攻击非常直观,被攻击服务器及相关的网络设备上都能够检测出明显的流量异常,而且随着网络接入带宽的快速增长和路由器、防火墙等网络设备的部署和发展,对这一类攻击的识别和防护已经有了长足的进步,位于DMZ(Demilitarized Zone,非军事区)的Web服务器已经能够在很大程度上避免受到侵害。
与此同时,由于网络应用的快速发展和丰富,Web服务器需要承载的功能越来越多,其对系统资源的消耗和需求也越来越高,从而使得应用层DoS攻击逐渐成为主流。与网络层DoS攻击对带宽的侵蚀不同,应用层DoS攻击的目标是主机系统,以消耗系统运算和内存等资源为目的。针对Web服务器的应用层DoS攻击可以从多方面进行:攻击者可以同时发起各种服务,可以发出海量访问请求,可以维持大量活动连接,可以建立很多会话,也可以发出恶意请求造成服务器出现缓冲区溢出。这些攻击都是基于HTTP协议而精心设计的,因此如果不能深刻理解HTTP协议并识别具体的访问请求,对目标Web服务器的防护将很难进行。
由于传统上基于数据包的检测通常都无法识别出应用层DoS攻击,基于路由器、防火墙或IPS的防护措施对此大都无能为力,即使是专门的“流量清洗”设备,其作用也非常有限。与此同时,梭子鱼则凭借先进的技术和深厚的积累提供了一个全面的解决方案:Web应用防火墙。梭子鱼Web应用防火墙为Web服务器提供了全面的安全保护,针对应用层DoS攻击的防护措施包括:
·反向代理的工作模式
通过建立虚拟服务器对外服务,将真实的Web服务器隐藏,并只转发设定端口(例如80/443等)的访问请求,从而减轻Web服务器的处理负担。
· 队列控制
控制从单个IP地址发起的并发访问量,并维持访问队列,从而限制单个用户对系统资源的占用。
·访问频率控制
如果某个源地址访问网站的频率超过设定门槛,源自该地址的访问将被阻断。
·会话跟踪
如果某个地址访问网站时在一定时间内新建应用会话的数量超过设定门槛,该地址将不能继续新建任务会话。
·HTTP请求限制
限制HTTP请求中各参数的长度。这些限制能够屏蔽恶意访问,使Web服务器只对正常请求作出回应。
通过综合运用上述保护手段,梭子鱼Web应用防火墙能够显著提高Web服务器对应用层DoS攻击的防御能力,保证网站正常运行。
