原创作品,未经Julian本人授权不得转载,侵权必究。
啊……五环
你比四环多一环
啊……五环
你比六环少一环
朋友们,快一个月没和大家一起读书了,你们是不是也和我一样以“北京躺”的姿势正欢乐的围观奥运啊?8过,大作家马克·吐温说得好:“习惯就是习惯,谁也不能将其扔出窗外,只能一步一步地引下楼。”所以,哥在身体没背掏空的时候也会重操那本书,慢慢研读一下,然后用自己的“洪荒之力”做笔记以及分享给大家哦。正文如下:
十二.限制访问速率及程序交互流程
12.1 检测高速的应用访问速率
攻击者通常关注动态的Web资源,因为它们比图片等静态资源需要消耗更多的服务器软硬件资源。静态资源通常可被缓存,因此对Web服务器或程序的消耗非常少,如果纳入监控,在客户端请求大量图片时会产生疑是突发流量的误报。因此在编写ModSecurity的规则时,一旦检测到Dos攻击就应发出drop动作,强制发送一个TCP的FIN包断开连接。
12.2 检测请求/响应延迟攻击
HTTP层的SYNDoS使得Web服务器在HTTP请求连接建立后一直等待攻击者客户端的响应,知道链接数被耗尽。而达到HTTPDoS攻击所需的流量要远小于网络带宽占满的TCP/IPDoS攻击所需的流量。
三种类型的请求延迟攻击:
1. 延迟发送HTTP头部字段:在请求中缺少了最后的CRLF来告知Web服务器请求已经发完,使得服务器等待发送更多的请求数据,直至超时。
2. 延迟发送请求体:即慢慢发送POST请求中的请求体部分,如Apach默认接收请求体的大小为2GB。
3. 延迟读取响应体:在发送完HTTP请求后,客户端返回服务器的TCP窗口大小比正常小得多,使得Web服务器吧响应内容进行切分成多个小的块,并排队发送给客户端,最终所有的处理线程都卡死在发送响应的阶段。
12.3 识别异常的请求间隔时间
针对通过浏览器上的cookie实现的CSRF(Cross-siterequest forgery跨站请求伪造),其特性是一般由于软件自动化进行攻击其发起请求的速度比真实环境中人为通过阅读、填写并提交的速度要快得多。
12.4 识别异常的请求流程
一些网站因为有大量信息需要收集或因基于前面表单提交的信息banding后续需要呈现给用户的信息内容,从而需要用户按找一定顺序多次提交不同的表单。而攻击者在知道了表单字段后跳过前面所需,直接输入后面表单的字段信息。ModSecurity用hmac(哈希令牌)来进行校验。
12.5 识别显著增加的资源使用
常见的是在社交网站上用户访问某人发表的带有CSRF代码的文章时,其向网站如facebook发送一个请求来传播此恶意链接,并使用该用户的会话来获取发表文章的授权以传播链接。
书读到这里,我感觉应该是把防御讲完了,从目录看,后面将介绍出现攻击事件应该如何做出快速适当的响应动作了。其中包括被动响应、主动响应和入侵式响应。好了不多做预告了,我准备继续以如下的打开方式去欣赏中国队的“泥石流”了!