公司概况

Company Profile

当前位置:首页 > 新闻中心

HTTPS的DDoS防护思路

时间:2022/01/11

有许多针对HTTPS的常见DDoS攻击。其中最多的就是从TCP、SSL/TLS和HTTPS协议三个方面攻击,下面小云就为大家介绍下针对HTTPS的DDoS防护工作该如何开展。

1.防TCP协议攻击

经过多年的防护积累,业界对TCP协议的DDoS攻击有着丰富的防护算法。对于TCP flood,DDoS防护产品拥有自主开发的反向检测算法,能够在不中断正常流量的情况下有效识别虚假源。针对肉鸡的攻击可以通过目标源速度限制或根据绿色联盟技术的威胁情报进行过滤。

DDoS防护

2.针对SSL/TLS协议攻击的保护SSL/TLS攻击通常是攻击源已通过TCP协议保护的真实客户端。单独考虑SSL/TLS协议的计算攻击没有好的方法。在DDoS防护设备上,可以根据客户端发起的密钥交换数量识别异常客户端。

3.保护HTTP协议攻击也很有效

对于HTTP协议攻击,业界有一些通用的HTTP保护算法,如302跳转、JavaScript验证和图像验证,以区分正常用户和肉仔鸡程序。然而,HTTP保护算法需要获得解密后的HTTP明文信息。保护设备需要跟踪与客户端的每个HTTPS连接,最后返回到SSL/TLS性能问题。

5.一般HTTPS保护的问题

目前,HTTPS使用的SSL/TLS协议以及上述DDoS保护一般都是代理保护。例如,CDN制造商通过大型集群消化攻击流量。待保护的HTTPS服务器向DDoS防护代理提供证书和私钥,客户端对服务器的访问转换为:客户端访问防护代理,然后防护代理访问服务器(可以使用HTTPS或HTTP)。客户端和服务器之间的通信内容在保护代理中是明文的,保护代理可以通过消息内容分析进行进一步的保护。此保护方法的问题在于:

  • 用户需要向保护代理提供其服务器使用的证书和私钥;
  • 客户端和服务器之间的通信内容对保护代理清晰可见,而HTTPS的保密原则丢失;
  • 专业

    服务器、防火墙专业服务商

  • 保障

    为客户业务的核心数据安全“保驾护航”

  • 用心

    专属咨询服务顾问

  • 便捷

    提供一站式合规解决方案服务