HTTP Flood Ataque y defensa

138 0 0 0

Ahora echemos un vistazo a otro ataque típico de la capa de aplicación: inundación de HTTP. Los ataques de inundación de HTTP aumentan cada año y no deben subestimarse.

 

1 mecanismo de ataque

Para iniciar una inundación de HTTP, el atacante puede usar hosts zombi para enviar una gran cantidad de solicitudes HTTP al objetivo. Las solicitudes contienen identificadores de recursos (URI) uniformes que requieren operaciones que requieren muchos recursos, como las operaciones de base de datos, para agotar los recursos en el servidor de destino y hacer que no pueda responder a las solicitudes normales.

 

NOTA

 

La URI se usa para definir los recursos web, pero el Localizador uniforme de recursos (URL) se usa para ubicar los recursos web. Por ejemplo, www.huawei.com/abc/12345.html es una URL, pero /abc/12345.html es un URI.

 

2 medida de defensa

Para evitar ataques de inundación de HTTP, podemos utilizar la redirección de HTTP. Cuando un cliente solicita www.huawei.com/1.html del servidor web, el servidor web devuelve un mensaje para indicar al cliente que solicite www.huawei.com/2.html para redirigir la solicitud a un nuevo URI.

La redirección HTTP es un proceso de recuperación automática para que los servidores web redirijan una solicitud a una nueva URI si la URI solicitada originalmente ha quedado obsoleta para que el cliente pueda visitar la página web deseada, como se muestra en la Figura 1-1.

 

Figura 1-1 redirección de HTTP


171901xu2ezkons47534wp.png


Los cortafuegos pueden utilizar este mecanismo para verificar si la fuente de las solicitudes HTTP es real para evitar ataques de inundación HTTP.

 

Como se muestra en la Figura 1-2, el firewall recopila estadísticas sobre solicitudes HTTP. Si la cantidad de solicitudes HTTP destinadas a un destino alcanza el umbral preestablecido durante un período de tiempo específico, se activa la autenticación de origen HTTP.

 

Después de habilitar la autenticación de la fuente HTTP, el firewall envía un redireccionamiento HTTP al cliente en nombre del servidor web al recibir una solicitud para indicar al cliente que solicite un nuevo URI que no existe. Si el firewall no recibe una solicitud para la nueva URI, el firewall considera que el cliente es falso. Si el servidor de seguridad recibe una solicitud para el nuevo URI, el servidor de seguridad considera que el cliente es real y pone en una lista blanca la dirección IP del cliente. Luego, el cortafuegos envía otro redireccionamiento HTTP al cliente para indicar al cliente que solicite el URI original, es decir, el URI solicitado por el cliente en primer lugar. Todas las solicitudes HTTP posteriores del cliente se consideran legítimas hasta que caduque la entrada de la lista blanca.

 

Figura 1-2 autenticación de fuente HTTP

171910phzgx5i7z5vueg0g.png


Aunque se utilizan dos redireccionamientos HTTP en el proceso de autenticación, la redirección se realiza rápidamente entre el servidor y el navegador y no afectará la experiencia del usuario.

 

Veamos el proceso detallado a través de las siguientes capturas de pantalla de captura de paquetes.

 

1.       El cliente solicita /index.html, como se muestra en la siguiente figura.


171919t7u0f73uuddk3z9d.png


2.       Al recibir la solicitud, el firewall responde en nombre del servidor web para redirigir al cliente a /index.html?sksbjsbmfbclwjcc, como se muestra en la siguiente figura.


171938jyzeczduyzdaadza.png


3.       El cliente solicita /index.html?sksbjsbmfbclwjcc, como se muestra en la siguiente figura.


171950zi213is1ll1vzef2.png


4.       Al recibir la solicitud, el firewall determina que la fuente de la solicitud HTTP es real y redirige al cliente al URI solicitado originalmente (/index.html), como se muestra en la siguiente figura.


172002uzcia204bjcc8hbt.png


Sin embargo, la autenticación de origen HTTP no es una solución única en el mundo real porque algunos clientes, como los decodificadores (STB), no admiten la redirección de HTTP. Por lo tanto, antes de configurar la autenticación de origen HTTP, verifique que no existan tales clientes en su red. De lo contrario, los servicios normales serán interrumpidos.

 

3 Comandos

La Tabla 1-1 enumera, por ejemplo, los comandos de configuración de la tasa de defensa de ataque de inundación HTTP en USG9500 V300R001.

 

Tabla 1-1 comandos de defensa de ataque de inundación HTTP

172045fxn1xgntgu1ngsv1.png


Esos son los ataques DDoS comunes y las medidas de defensa relacionadas con los firewalls. Aunque los firewalls tienen capacidades de defensa de ataque DDoS, no son productos anti-DDoS dedicados. Si necesita productos anti-DDoS dedicados, tenemos AntiDDoS1000 y AntiDDoS8000. Estos son productos anti-DDoS líderes en el mundo y productos asesinos de Huawei. Para obtener más información sobre estos productos, visite el sitio web de Huawei y descargue los documentos del producto.

 

Preguntas del Dr. WoW:

 

1. ¿Cuáles son los tres tipos de ataques de un solo paquete?

2. ¿Cuáles son las medidas para prevenir los ataques de inundación SYN? ¿Cuáles son los escenarios de aplicación de las medidas?

3. ¿Cuáles son las medidas para prevenir ataques de inundación UDP?

4. ¿Para evitar ataques de inundación de HTTP, ¿se redirige cada solicitud HTTP desde una fuente?


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión