HTTPS的DDoS攻击防护思路 – 绿盟科技技术博客 |
您所在的位置:网站首页 › dis攻击防御 › HTTPS的DDoS攻击防护思路 – 绿盟科技技术博客 |
阅读: 11,466
随着越来越多的网络业务由明文HTTP转向加密HTTPS协议,针对HTTPS的DDoS攻击也呈快速增长趋势,包括针对SSL/TLS握手交互的攻击和针对HTTPS业务的攻击。HTTPS的DDoS防护一直是业界的一个难题,本文介绍HTTPS的DDoS攻击原理和危害,并给出防护思路和防护实践。 一、引言DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。DDoS,常见网络和应用层的攻击经过长时间的对抗研究,对协议和报文内容的分析,已经形成了成熟的解决方案。 但随着用户对安全性要求的增强,以及一些政策性的强制性要求(比如苹果appstore对HTTPS的强制要求),越来越多的网络服务主动或被动的将自己的服务由HTTP切换到HTTPS。HTTPS协议在网络上传输加密的报文,传统的内容检测技术失去了效果;由于处理HTTPS连接的巨大资源消耗,让HTTPS的DDoS攻击成本较低,危害性却较大。 本文介绍常见的针对HTTPS的DDoS攻击原理,通过HTTPS的原理介绍攻击的特别之处;给出常见的防护思路和针对性防护实践。 二、HTTPS的DDoS攻击原理 2.1 HTTPS协议简介传统的HTTP协议采用明文传输信息,存在被窃听和篡改的风险;SSL/TLS提供了身份验证、信息机密性和完整性校验功能。HTTPS基于HTTP开发,使用SSL/TLS进行加密的信息交互,在交互协议上使用了TCP、SSL/TLS和HTTP三种常见的协议。 图2.1 HTTP协议示意图 针对HTTPS的DDoS攻击也主要从TCP协议、SSL/TLS协议和HTTP协议三个方面来进行的,下面分别介绍。 2.2 TCP协议的攻击此类攻击比较常见,即是普通的针对HTTPS服务器发起的SYN-Flood、ACK-Flood等,用以消耗服务器的TCP连接等资源。这类攻击不涉及HTTPS特有的协议,所有承载在TCP协议之上的服务都可能收到此类攻击。 2.3 SSL/TLS协议的攻击SSL/TLS握手过程涉及非对称加密算法,对称加密算法和散列算法,其中非对称加解密是非常重量的计算消耗性工作。而大部分非对称加密算法在实际使用中,服务器的计算量远大于客户端,下面以最常使用的非对称加密算法RSA介绍,其原理如下: 1. 选择一对不同的、位数差不多且足够大的素数p和q; 2. 计算n=p*q; 3. 计算φ(n)=(p−1)(q−1); 4. 取一个与φ(n)互质的数e,1 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |