当前位置:主页 > WEB安全 > 正文

域名被攻击怎么办_怎么防_网站防护攻击

03-30 WEB安全

域名被攻击怎么办_怎么防_<a href='http://www.ddosgb.com/ddos1/1101.html' target='_blank'><u>网站防护</u></a>攻击

我们听到了用户通过猜测账户和账户获得的密码。凭证填充是一种帐户接管方法,它利用了许多用户重复使用密码的弱点。在这里,犯罪者获得了一个从一个服务泄露的用户名和密码的列表雅虎,并在其他知名服务上运行它们-gmail.com网站以及linkedin.com例如。最近泄露的凭证列表的规模,往往在一次黑客攻击中达到数十万甚至数百万条记录,这导致攻击者开发和使用新的方法,从旧的和基本的暴力攻击向前发展。最近,僵尸网络被引入到凭证填充攻击中,允许在不同节点之间分配负载,但也通过在数百或数千个源之间传播攻击来克服简单的防御机制。然后开发了自动化客户端交互的工具,以便可以部署在僵尸网络的僵尸设备上。因此,网络犯罪社区出现了,他们推荐策略并销售专门针对特定目标的自动化客户端配置文件。我们最近在检测和减轻针对Incapsula客户的凭证填充攻击时看到了这种威胁。攻击的解剖典型的攻击发生在以下几个阶段:攻击者从站点窃取凭据,ddos攻击防御权衡,或者在某些情况下从站点漏洞获取溢出的凭据。由于许多用户对多个帐户具有相同的凭据,被盗的凭据可以提供对其他帐户的访问。攻击者使用的僵尸网络工具简化了针对多个帐户检查大量凭证的过程,并挫败了简单的检测和缓解机制。成功登录后,攻击者可以接管帐户以使用个人信息,如信用卡号码。攻击者还可能将该帐户用于其他恶意目的,例如从电子邮件帐户发送垃圾邮件。成功率很低,平均只有1%或更少。然而,DDoS的防御有,有了僵尸网络和可以检查大量账户的工具,结果可能是数千次成功的账户违规。受到攻击的媒体服务Incapsula安全小组最近接到电话,帮助一家媒体服务机构受到此类攻击。通过大量的研究工作和客户的宝贵合作,我们能够查明并减轻攻击。我们的调查首先确定目标域上是否存在用于自动访问身份验证过程的已知工具。这个工具是Sentry MBA,一个允许与网页自动交互的HTTP机器人。该工具是高度可配置的,可以减轻安全控制,如速率限制或简单的验证码。导航目标站点的唯一特征所需的配置文件可能很难创建。但是,由于它需要了解站点的控制,所以许多站点的现成配置文件可以在线购买。通过调查这个僵尸网络使用的源IP,我们很快发现了一个共同的模式:其中许多IP都与一个特定品牌的家庭路由器有关,就在一个月前,就有人公开报道说这些IP存在严重漏洞。这些发现使我们能够使用先进的Incapsula分类引擎来对付攻击的机器人。使用新的分类技术,我们识别出一个与路由器平台相关联的唯一TLS指纹。然后,我们就能够在不影响合法用户的情况下锁定并阻止特定的攻击。TLS指纹基于客户端和服务器之间TLS会话开始时客户端发送的Hello包。由于此数据包未加密,并且对于每个客户端,每个会话都是静态的,因此根据数据包中的数据对客户端进行唯一标识。用Incapsula保护现场Incapsula有几个工具来抵御攻击,我们在需要时在媒体服务部门实现了这些工具。下面显示的规则是我们的客户用来配置安全性、传递和访问控制规则的inca规则。它们可以手动编码或使用专用GUI生成。速率限制–由于凭据攻击只是试图确定登录是否成功,因此攻击的目标是登录页面。可以定义Incapsula规则来限制每个IP或每个会话访问页面的速率。当超过速率时,访问将被规则中定义的响应阻止。  请与Incapsula支持人员联系,直播高防cdn,以确定在您的系统上应用的最佳规则。此示例规则过滤在一分钟内向具有"登录"一词的URL发出超过15个POST请求的IP: 请与Incapsula支持人员联系,以确定在您的系统上应用的最佳规则。要覆盖登录页URL没有"登录"一词的情况,您可以添加以下规则来筛选登录页上的常用参数名称,例如用户名、用户或密码:对于每个规则都定义了一个操作,例如阻止请求或要求验证码。客户端分类–Incapsula可以通过其分类过程来阻止坏机器人程序,该过程将自动阻止被归类为坏机器人程序的客户端的访问。您可以为只希望浏览器和搜索机器人程序访问网站的网站定义特定的Incapsula分类规则,例如以下规则。流控制–合法客户端的请求和响应遵循已定义的预期用户流,而攻击者可能不会遵循该流。例如,攻击者可能在访问登录页面之前发送带有凭据的POST请求。可以定义这个Incapsula规则来检测与预期模式的偏差,并阻止访问。现场保护建议从保护和监视您的站点开始,以加强帐户以防止攻击者访问。这些是我们强烈建议采取的一些行动。减少攻击面–在开发系统时,减少用户可以访问系统并从中获取数据的身份验证点的数量。例如,对类似的业务流使用单个身份验证端点。尽量避免维护为同一用户服务的不同子域的旧的和新的身份验证端点或不同的端点。按照OWASP备忘单绘制并评估攻击面。作为另一个登录攻击表面的例子,ddos防御方案ppt,服务器防御CC软件,最近对一个商业网站的忘记密码接口进行了攻击。我们认为,这起案件中的犯罪者是利用被破坏的电子邮件帐户凭据,使帐户连接到该电子邮件地址。通过对网站的忘记密码页面发起多个请求,试图访问电子邮件重置密码,攻击者可以控制商业帐户。我们创建了一个检测并阻止攻击的规则。请参阅有关如何加强您的网站抵御此类攻击的建议。登录强制–使用此功能可识别异常情况,例如来自同一IP或用户的多次登录尝试失败,或登录尝试在短时间内急剧增加。鼓励对站点使用双因素身份验证。日志审核–记录对系统的访问并监视意外活动。使用可以输入到可用日志监视工具的标准日志格式。信息暴露-不要在消息或日志条目中披露超过要求的信息。例如,登录失败时,不要透露登录的哪一部分不正确。摘要随着僵尸网络和自动化工具支持的大规模凭证填充攻击,请务必使用我们描述的Incapsula工具和建议来保护您的站点。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/39278.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5420376访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X