针对HTTP服务的防御策略包括防御。
防御
-
当发往防护对象的目的IP地址的HTTP报文速率大于“目的IP请求速率阈值”时,则针对这个目的IP地址启动HTTP Flood防御。
如果防护对象的防御模式为自动,则系统自动启动防御;如果为手动,则需要管理员手工确认后启动防御。防御模式的配置请参见配置防御模式。
建议通过基线学习配置“请求速率阈值”,具体请参见配置基线学习任务。
“目的IP请求速率阈值”只对除SYN、SYN-ACK、ACK、FIN和RST报文以外的其他HTTP报文进行统计,比如:GET、POST等报文。只要流量达到其中设置的一个阈值,则触发防御。
-
参数请参见表1。
表1 配置HTTP源认证防御 参数
说明
取值建议
只挑战可疑源
包速率阈值
对HTTP报文速率超过“包速率阈值”或“请求速率阈值”的可疑源IP进行挑战认证。
-
请求速率阈值
-
防御模式
清洗设备对HTTP源的防御模式。
- 302重定向:当用户请求的页面与页面内嵌资源不在同一个服务器上,内嵌资源所在服务器发生异常时,对嵌套资源服务器启动302重定向防御,探测访问源是否为真实浏览器。此方式不影响客户体验。
验证码:通过探测HTTP访问是否由真实的用户发起的,需要输入验证码。因为僵尸网络攻击无法输入验证码,故可以有效得防御攻击,但会影响用户体验。
当HTTP服务的客户端是机顶盒时,由于机顶盒无法输入验证码,必须选择302防御模式。
- cookie源认证:该模式可有效阻止来自非浏览器客户端的访问,当服务器请求发生异常时,利用真实浏览器可以记录cookie功能,探测是否为真实源。
- JavaScript重定向:当用户请求的页面或者页面内嵌的资源所在的服务器发生异常时,利用JavaScript重定向功能,探测访问源是否真实。真实浏览器可以执行JavaScript,自动完成重定向,不会影响客户体验。
验证码输入框标题设置
“防御模式”为“验证码”时,防护设备向访问源自动推送验证码输入页面。此处可以设置验证码输入框的标题。
-
代理检测
检测HTTP请求是否为通过代理发出的请求。
如果是,则从HTTP报文中获取请求者的真实IP地址,对真实IP地址进行防御,保证正常请求不受影响,攻击流量被丢弃。
当网络中有HTTP代理时,建议开启代理检测。
自定义HTTP代理关键字
用于配置自定义HTTP代理的关键字。
-
源认证终止条件
尝试时间、最大尝试次数
用于限制HTTP重定向的最大尝试次数。
启动HTTP源认证防御后,如果在“尝试时间”内,对同一源IP地址的认证次数大于“最大尝试次数”时,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
否则,将源IP地址加入白名单。
syn报文限速
包速率阈值
当源认证通过的源IP地址的syn报文流量超过“包速率阈值”时采取限速。
用于限制连接数。
-
ack报文限速
包速率阈值
当源认证通过的源IP地址的ack报文流量超过“包速率阈值”时采取限速。
用于限制HTTP get速率。
-
-
如果时间间隔低于设定的下限,或者高于设定的上限,则认为是首包,将其丢弃;如果时间间隔落在配置的上限和下限之间,则认为是后续包,将其放行。
-
在“学习周期”内,同一个源IP地址的包含同一指纹的请求超过“匹配次数”时,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 高频请求检测
在“检查周期”内,同一源IP对防护对象内目的IP的HTTP请求次数超过“请求次数阈值”时,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 大资源检测
在“检查周期”内,同一源IP对防护对象内目的IP的HTTP请求次数超过“请求次数阈值”,且满足“大资源定义”的请求次数在总请求次数中占比大于“请求比例阈值”,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 固定URI检测
在“检查周期”内,同一源IP对防护对象内目的IP的HTTP请求次数超过“请求次数阈值”,且指定URI的请求次数在总请求次数中的占比大于“请求比例阈值”,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
URI列表:通过URI检测防御HTTP Flood攻击时,需要重点监测的URI。
-
- HTTP异常连接防御当发往防护对象的目的IP的HTTP并发连接数大于“目的IP并发连接数阈值 ”时,则针对这个目的IP地址启动HTTP异常连接防御。
- HTTP慢速连接检测
参数请参见表 配置HTTP慢速连接防御。
表2 配置HTTP慢速连接检测 参数
说明
总报文长度
连续多个HTTP POST报文的总长度大于设定阈值,其HTTP载荷长度都小于设定阈值视为异常连接。
连续多个HTTP GET/POST报文的报文头都没有结束标识视为异常连接。
载荷长度
异常源阻断
异常报文阈值
连接上的异常报文数超过“异常报文阈值”视为慢连接,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
- 异常连接检测参数请参见表 配置源异常连接检测。
表3 配置异常连接检测 参数
说明
空连接检测
HTTP报文头缺少method的连接为异常连接。
Range连接检测
HTTP报文头携带Range选项的连接视为异常连接。
多Method连接检测
HTTP报文携带多个Method的连接视为异常连接。
异常源阻断
连接数阈值 (连接)
“检查周期”内,源IP的异常HTTP连接次数超过“连接数阈值”,则将该源IP地址作为攻击源上报ATIC管理中心。如果防护对象的动态黑名单模式不是“关闭”,则系统自动将攻击源的IP地址加入动态黑名单。动态黑名单模式的配置请参见配置防御模式。
检查周期
- HTTP慢速连接检测