DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

DDoSD新玩法:DoS攻击新玩法之WebSocke

09-19 DDOS防御

DDoSD新玩法:DoS攻击新玩法之WebSocke.

  伴随着互联网技术的发展,实时交互的应用场景在互联网公司大规模使用,例如:

  (1)多玩家App游戏,例如棋牌游戏

  (2)Web导航中的地理位置获取

  (3)即时聊天通讯

  各大公司发现它们需要一种高效节能、简单易用的双向通信机制来保证数据的实时传输。在此背景下,基于HTML5规范的、有Web TCP之称的WebSocket应运而生。也就是我们一直说的web通讯的长连接。

  WebSocket在建立连接后,WebSocket服务器和Client Agent都能主动的向对方发送或接收数据,就像Socket一样。

  在DDoS攻防领域目前很多游戏,包括棋牌类游戏,百万竞猜答题,都在使用WebSocket协议做通讯。服务器端是Apache Jetty or Tomcat等。传统WebSocket和WSS防护瓶颈,

  (1)由于对Web层协议无法支持,主要是基于DDoS防火墙4层防御,看不到内部的通讯原理4层防火墙程序一旦配置不当,App游戏会出现卡顿和掉线情况。

  (2)针对CC攻击,由于4层防火墙限制基于源和目的的限速会导致误杀,无法处理特别是NAT后IP请求频率,需要动态调整。

  (3)由于客户App程序超时时间为变动值,有可能触发4层防护墙防护空连接检查策略。

  0x02、4/7层防火墙原理探究

  为了更好的理解WebSocket防护原理,我们首先要研究一下高防产品4/7层防护系统是如何处理进入到防火墙集群的数据如何流转。哪些细节是涉及到针对使用WebSocket or WSS的App游戏。

  数据流主要经过几个阶段,包括SYN、ACK、HTTP。所以从以上3个阶段分析一下。再此之前要先看一下DDoS整体处理流程。

  DDoS防火墙处理大致流程:

  备注:由于各家防火墙防护机制不同,部分处理有差异

  数据流进入DDoS防护引擎需要经过群组流控、全局白名单、全局ACL控制、全局黑名单、畸形包处理、然后进入到SYN防护流程、ACK防护流程、UDP防护流程、ICMP防护流程、还有其他协议的处理流程(SIP等)。

  SYN处理流程:

  SYN处理流程经过:报文合法性检测,群组源IP带宽限制,空连接处理,连接数耗尽处理,3秒重传检测,最后进入防护SYN算法(达到pps阈值防护算法,同时设置限制反向探测阈值)

  ACK防护流程:

  ACK防护流程:主要是包含几部分,第一部分是判断是不是http数据流,如果是进入URL-ACL处理部分和CC处理部分,如果不是则通过ACK用户设置pps判断进入ACK算法处理流程,同时如果选择带回探算法,需要设置探测截止pps,如果回源流量收钱的话,这是降低成本的方法。

  CC防护策略:

  CC防护流程:首先处理用户自定义策略,比如:哪些主机IP、Referer、URL(支持正则)、User-agent、X_forwarded_for等黑白名单。然后确定CC策略是否开启,进入判断CC_QPS,判断如果单IP和总量超过用户设定的QPS阈值。然后进入对超出阈值的IP访问进行防机器人提交的方法,从轻到重的处罚,302跳转、JS跳转、弹验证等。

  通过以上防护策略描述大家应该知道哪些配置影响websocket游戏长连接处理。

  0x03、高防产品如何支持Web socket&WSS

  这个问题涉及到你高防系统架构问题,如果你的高防防火墙是4/7处理后再转发到用户源站,还是前端防护墙只处理4层DDoS攻击,然后把7层处理放到7层转发系统之上。各有利弊,放到前面可以复用4层处理的数据,包括动态信任列表等,放到后面SLB升级灵活。

  如果你的slb在nginx 或者tengine上修改的。

  WebSocket使用 ws 或 wss 的统一资源标志符,根据高防产品共享Nginx代理方式,我们需要同时支持http和WebSocket转发。Nginx1.3版本以上就支持WebSocket了,但是要求http支持1.1版本。如果高防产品是自动化配置管理,那还需要升级自动化配置程序,WSS证书和https配置相同。

  server {

  listen80;

  server_namews.test

  location / {

  proxy_pass :8001/;

  proxy_redirectoff;

  proxy_http_version1.1;

  proxy_set_header Upgrade $http_upgrade;

  proxy_set_header Connection "upgrade";

  }

  }

  针对WS协议的攻击目前还没有太牛的案例,所以使用传统CC防护算法可以满足需求,如果出现在一个连接中出现海量提交,可以在代码中加入特殊处理流程。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//ddos1/175.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X