防刷新、恶意攻击处理方案分析
2011-11-21 15:38
232 查看
网站、服务以及对外提供的接口等几乎所有的B/S、C/S应用,在运营的过程中,往往都有可能会遇到意想不到的暴力型攻击威胁,通常所说的有两类:恶意刷新、暴力破解(穷举),当然也不乏有应用漏洞扫描等,实现方式多样,大致有以下情形:
(1) 暴力猜测密码等敏感信息
(2) 恶意刷新页面,致使服务器处于繁忙应答状态
(3) 穷举验证码
(4) 后台扫描
(5) 合法业务的不合法现象(账号被盗而进行较大金额分散性转移)
(6) ……
当然以上的威胁场景,未必通过应用端组件的方式来完成拦截和丢弃,亦可以通过硬件层、服务层来配合完成安全策略(NetScaler、F5、IISetc.)。
本文通过阐述应用层限制用户恶意刷新的实现策略,侧向于宏观控制,仅供参考;微观行为控制可以通过业务策略抑或特定的规则策略来配合实现。
§、实现效果
采用旁路的方式来实现,即应用系统实时异步将流失日志发送到旁路分析系统,旁路分析系统发现可疑的IP和可疑的Account后,再将发现的恶意用户行为信息反馈给各应用系统并存入应用系统本机或者统一Cache中,采用此方式对系统增加的负载只有两点:
1) 发送UDP日志。由于UDP发送完全是非阻塞的,发送操作仅仅是将数据拷贝到操作系统缓冲区,因此发送带来的延时是小到可以忽略的。从整体负载方面来说一台机器网卡每秒大约能发送6万个UDP包,而一台Web Server上每秒处理的不过数百个,因此也几乎没有影响。
2) 判断用户是否是恶意account和恶意IP。因为恶意信息会发回到各应用Web Server本地存储,因此判断操作也只是一次内存读取操作,对性能几乎没有影响。
§、分析设计
旁路分析支持以下三类用户标识可访问性判断:用户、用户+IP、独立IP,即客户端更换IP、更换用户等信息密集型操作时,捕捉到恶意用户也可有一定的准确度。
UDP流水消息发送:
恶意用户判断:
旁路分析通知:
$、代码实现
(略)
§、总结
压力测试结果
旁路系统带来的好处主要包括下面几个方面:
1)风控策略系统可以将多方面的数据和历史统计数据进行汇总,可以实现较为复杂的策略判断。
2)恶意行为/监控打击的计算逻辑不影响主服务器自身的性能,不影响主服务器的正常运行。
3)相比硬件层、网络层用户控制,防刷组件可以较为灵活、相对全面的监控客户端行为,通过硬件层、网络层对用户行为控制和导向,在一定程度上只能做到宏
观,甚至有可能还会引起客观条件上的局限(硬件、网络、通信),另外诸多应用站点的密集管理,硬件、网络层的维护可能相对复杂、繁琐。
4)风控组件实现后接入简单,较为易用,有良好的可扩展性、可维护性、可分散性。自动屏蔽恶意海量请求的同时,也可疑对特定可疑IP进行手动添加、解禁处理。
(1) 暴力猜测密码等敏感信息
(2) 恶意刷新页面,致使服务器处于繁忙应答状态
(3) 穷举验证码
(4) 后台扫描
(5) 合法业务的不合法现象(账号被盗而进行较大金额分散性转移)
(6) ……
当然以上的威胁场景,未必通过应用端组件的方式来完成拦截和丢弃,亦可以通过硬件层、服务层来配合完成安全策略(NetScaler、F5、IISetc.)。
本文通过阐述应用层限制用户恶意刷新的实现策略,侧向于宏观控制,仅供参考;微观行为控制可以通过业务策略抑或特定的规则策略来配合实现。
§、实现效果
采用旁路的方式来实现,即应用系统实时异步将流失日志发送到旁路分析系统,旁路分析系统发现可疑的IP和可疑的Account后,再将发现的恶意用户行为信息反馈给各应用系统并存入应用系统本机或者统一Cache中,采用此方式对系统增加的负载只有两点:
1) 发送UDP日志。由于UDP发送完全是非阻塞的,发送操作仅仅是将数据拷贝到操作系统缓冲区,因此发送带来的延时是小到可以忽略的。从整体负载方面来说一台机器网卡每秒大约能发送6万个UDP包,而一台Web Server上每秒处理的不过数百个,因此也几乎没有影响。
2) 判断用户是否是恶意account和恶意IP。因为恶意信息会发回到各应用Web Server本地存储,因此判断操作也只是一次内存读取操作,对性能几乎没有影响。
§、分析设计
旁路分析支持以下三类用户标识可访问性判断:用户、用户+IP、独立IP,即客户端更换IP、更换用户等信息密集型操作时,捕捉到恶意用户也可有一定的准确度。
UDP流水消息发送:
恶意用户判断:
旁路分析通知:
$、代码实现
(略)
§、总结
压力测试结果
并发50用户 | 开启前 | 开启后 |
吞吐量 | 323.1/s | 303.9/s |
1)风控策略系统可以将多方面的数据和历史统计数据进行汇总,可以实现较为复杂的策略判断。
2)恶意行为/监控打击的计算逻辑不影响主服务器自身的性能,不影响主服务器的正常运行。
3)相比硬件层、网络层用户控制,防刷组件可以较为灵活、相对全面的监控客户端行为,通过硬件层、网络层对用户行为控制和导向,在一定程度上只能做到宏
观,甚至有可能还会引起客观条件上的局限(硬件、网络、通信),另外诸多应用站点的密集管理,硬件、网络层的维护可能相对复杂、繁琐。
4)风控组件实现后接入简单,较为易用,有良好的可扩展性、可维护性、可分散性。自动屏蔽恶意海量请求的同时,也可疑对特定可疑IP进行手动添加、解禁处理。
相关文章推荐
- 工业网络安全:TRITON恶意软件简单分析与防护方案
- 用户行为分析业务系统日志处理方案
- DHCP server 冒充及DOS攻击处理方案
- 实时刷新缓存-处理mysql主从延迟的一些设计方案
- 高并发事务处理方案 秒杀的分析
- linux系统死机情况分析与处理方案介绍
- 针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
- Twitter 数据实时分析处理攻击 Storm
- 不明恶意攻击致<搜狗搜索><搜索结果>跳转<百度搜索>技术原理分析
- Linux服务器被rootkit恶意软件攻击后的处理方法
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- 安全基础 基于SSH的恶意登录攻击分析
- 孟加拉央行SWIFT攻击事件恶意木马分析(转)
- 原创处理web打印套打的方案分析
- 《那些对传智播客的恶意攻击》第四篇:不断刷新智商下限
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- Linux系统死机情况分析与处理方案介绍
- NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案
- 【转】分布式环境下5种session处理策略(大型网站技术架构:核心原理与案例分析 里面的方案)
- Weapsy 分析三(Web层) 3 关于MVC3中一个表单多个按钮的处理方案