H5高防_简述_宝鸡纸牌高防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > H5高防_简述_宝鸡纸牌高防

H5高防_简述_宝鸡纸牌高防

小墨安全管家 2021-04-06 16:48 DDOS防御 89 ℃
DDoS防御
当Juliano和Thai去年披露犯罪攻击时,特别明显,同样的攻击技术也能够应用于任何其他压缩数据,尤其是压缩响应体(经过HTTP压缩)。但特别明显,在我们的漏洞驱动文化扫瞄器厂商不大概采取任何行动对于。发展因为今年在Black Hat,一组通过研究的呈现了一种犯罪行为的变体,在HTTP响应体上,准确地讲,是一种犯罪行为,在最损害的地点起作用。假如你还不熟悉这次攻击,我建议你去研究人员的网站,那儿有一篇很好的论文和一套幻灯片。假如你如今不想看报纸,我会提醒你犯罪攻击是经过让攻击者猜到一些隐秘文本来实现的。诀窍是将推测包含在与实际隐秘相同的上下文中(例如,相同的响应体)。当他的推测是100%错误时,响应的大小会随着推测的大小而增加。然而,当推测是正确的(彻底或部分地,意味着推测和隐秘之间有一些重叠),压缩就会开始,响应体就会略微收缩。只要有脚够的推测和脚够的时刻,你就能够在页码.TLS不能谨防这种攻击,因为当协议最初设计时,MITM攻击者不会经过受害者的扫瞄器提交任意的明文。从那时起,威胁模型不断进展,但协议保持不变。(有味的是,有一具草案提议在TLS级别处理这类情况:传输层安全协议的长度躲藏填充)缓解显然,一具选项是在TLS级别解决咨询题;然而这需要一些时刻时刻。外头TLS,这篇文章本身包括了一具特别好的缓解方案列表,同时,除了例外,我不计划在那个地点重复。总的来讲,这并不容易。在处理犯罪时,我们特别幸运,因为特别少有人懂TLS压缩的存在,惟独少数扫瞄器/用户真正支持它。这一次,那个缺陷被利用在一具功能中,那个功能不仅被广泛使用,而且特别多网站都离不开那个功能。只要试着讲服一具大网站关闭压缩,在一具大的财务和业绩成本。虽然这样大多数对于违约的讨论无疑会集中在它对CSRF代币的威胁上,我们应该知道,这种阻碍大概更广泛。响应中包含的任何敏感数据都受到威胁。好消息是会话令牌也许没有暴露出来。可是,一具位置良好的伪造CSRF请求能够做特别多情况损坏.CSRF令牌谨防关于CSRF令牌,有一种简单而有效的谨防想法,即在每个响应上用不同的(随机)值屏蔽令牌,从而使令牌随机化。掩蔽不大概躲藏令牌(任何拥有令牌的人都能够轻松地逆转掩蔽),但它真的能够击败攻击技术。当隐秘向来在变化时,推测是不会的。所以,防DDoS,我们能够预期大多数框架将采纳这种技术。那些依靠框架的国家只需要升级就能够利用国防。那些没有的人将不得不修复他们的代码.HTTP分块编码缓解(Chunked Encoding reduction)的获奖者是paulquerna,DDoS高防,他在httpd dev邮件列表中提议使用HTTP分块编码来随机响应长度。分块编码是一种HTTP特性,通常在预先不懂响应体的大小时使用;惟独下一具块的大小是已知的。因为块携带一些额外的信息,它们会阻碍响应的大小,但不大概阻碍内容。例如,经过强制使用比需要更多的块,能够增加响应的长度。关于只能看到响应体大小而不能看到其他任何内容的攻击者来讲,块是不可见的。(固然,假设它们不是以单独的TCP包或TLS记录发送的)这种缓解技术很容易在web服务器级别实现,这使得它成为最廉价的挑选。对于它的有效性惟独一具咨询题。目前还没有人做过数学计算,但大多数人也许接受响应长度随机化减慢了攻击者的速度,但并不能彻底阻挠攻击。然而,假如攻击可以显著减缓,可能它会和阻挠。推举检查缓解一种快速、肮脏、棘手且大概不可靠的缓解想法是对所有传入请求执行Referer头检查。因为攻击者无法从网站本身注入请求(除非他经过XSS获得访咨询权限,在这种事情下,他拥有扫瞄器,无需进一步攻击),他必须从其他网站(恶意网站,或从MITM位置劫持的无辜网站)举行此操作。在这种事情下,引用信息将显示来自另一具网站的请求,CC防御,我们能够特别容易地检测到这个。如今,您不能只删除此类请求(因为如此一来,指向您的网站的链接将不再有效),然而您能够在cookie到达应用程序之前删除它们。假如没有加密的cookies,受害者将无法恢复会话。攻击减轻了。那儿只是,这是一具陷阱(正如休伯特今早对我指出的那么):假如你的网站依靠于被任意第三方网站陷害,或者它向他人公开公共服务(用于扫瞄器消费),这么你就不能使用这种辩护。我想你的服务需要饼干。假如他们不如此做,你就能够重操旧业了。假如您决定尝试,请在登台环境中测试您的要紧用例首先,DDoS防御,你只能用两个Apache指令(replace网站使用您自个儿的域名):SetEnvIfNoCase Referer^https://www\.example\.com保留cookiesRequestHeader unset Cookie env=!keep_cookies这些Cookie只为来自同一站点的请求保留。假如用户跟踪其他站点和书签的链接并希翼即将登录(大概是因为他们基本登录,或者因为您的站点支持自动登录),则大概存在一具咨询题。关于如此的用户,您大概需要有一具欢迎页面,在那儿您将要求他们单击某个链接以进入该网站。曲奇饼将在下一天再次发送请求。不过需要讲明的是,专注于欺骗Referer头的攻击由来已久。例如,Chrome最近就浮上了如此一具咨询题。可是,这种攻击在发觉后会特别快得到解决。此外,正如Krzysztof Kotowicz所指出的,提交不包含Referer头的请求是特别简单的(请在那个地点和那个地点阅读它)。总之,我不能讲我的确爱慕这种想法,但它的巨大优势在于,您能够很快地在web服务器或反向代理级别部署它,而不必对应用程序代码。即使有了所有的限制,我想依旧会有大量的应用程序需要权衡能够。我们应该的确修复扫瞄器我的确希翼看到那个咨询题解决,它应该在扫瞄器级别解决。目前,MITM攻击者能够拦截您的非加密请求,扰乱它们,并欺骗您的扫瞄器向您关怀的站点发送包含任意内容的请求。正是这种相互作用使得一些很有味的攻击成为大概:BEAST、CRIME、RC4和now Break。一具精心设计的挑选加入安全措施能够做到这一点,但我想它需要大量的讨论和政治才干实现。那个方法是,一具网站能够操纵哪些其他网站(跨来源)能够发起对它的请求,即使是经过和

H5高防_简述_宝鸡纸牌高防

标签。顺便讲一句就在几天前,Mike Shema和Vaagn Toukharian(Qualys的同事),提出了一具新的cookie控件(update:andnow还有一具来自Mike的后续帖子),能够限制cookie的发送时刻。他们的意图是应付CSRF,但这项措施也能防止违约。假如第三方网站违背您的意愿向您的网站发起请求,这么可以让扫瞄器放弃cookies将减轻这种大概性攻击。更新(2013年8月8日):这篇博文的第一版包含了推举人检查谨防,允许空的推举人,支持书签用户自动登录的方法。但随后Krzysztof Kotowicz指出Referer头能够被攻击者移除。我如今基本修改了那个示例,以便对所有不是来自web的请求都放置cookies站点。更新(2013年10月14日):基于推举人检查的一具更好的缓解想法是有挑选地禁用压缩,而不是丢弃cookies。这种想法只会带来轻微的性能损失,但不大概损失功能。阅读最初的讨论主题,了解怎么经过阿帕奇。相关犯罪:针对2012年12月14日在"产品和技术"中针对SSL/TLSSepter的信息泄漏攻击BEAST是否仍然是一具威胁?2013年9月10日在"产品和技术"中淹死滥用SSL v2攻击TLSMarch 2016年3月1日"产品和技术"


DDoS防御

当前位置:主页 > DDOS防御 > H5高防_简述_宝鸡纸牌高防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119