安全防护相关概念
DDos防护
DDos攻击的概念
分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接,利用恶意程序对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。
攻击原理
攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。
常见的DDoS攻击类型
- 畸形报文
畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。 - 传输层DDoS攻击
以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。 - DNS DDoS攻击
以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。 - 连接型DDoS攻击
以Slowloris攻击为例,其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后,Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接。如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时,Web将无法处理任何新的请求。
Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。 - Web应用层DDoS攻击
通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。
Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。
由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。
CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。
跨站脚本 (XSS:Cross Site Scripting)
###
DDos基础防护
每日上限5G的基础DDos共计防护
事态感知
态势感知具备异常登录检测、网站后门查杀、网站后门查杀、进程异常行为、敏感文件算改、异常网络连接、Linuⅸ软件漏洞、Windows系统漏洞、Web-CMS漏洞、应急漏洞、Web漏洞扫描、主机基线、云产品基线、资产指纹、AK和账号密码泄露、数据大屏、日志检索、全量日志分析。
维护
Web应用防火墙
可以提供一下攻击类型的防护:
- 跨站脚本
- SQL注入
- CSRF(Cross-site Request Forgery)
- 本地文件包含
- WebShell
安骑士
云安全中心
Agent
- 一键自动安装Agent(仅适用阿里云ECS服务器)
- 服务端检测到和Agent客户端的通信异常,包括但不限于网络异常、客户端进程被异常结束、客户端被卸载等,会将客户端的状态更改为离线。
- 如果服务端在10个小时内没有收到Agent客户端登录、采集到的数据等信息,会将客户端状态更改为离线。
- Agent卸载后会有一段保护期(24小时),在保护期内重新安装的Agent会被自动卸载。
- 云安全中心Agent可以在Linux、Windows系统中使用。
6.安全管家
内容安全
- 内容审核(机审)
- 人工审核
- 图片OCR识别
- 人脸识别