Upload
imyunshu
View
2.324
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
CC 攻击与移动 APP 业务云舒 2013 年 3 月
前面的话
• 这不是我最想讲的题目• 这个题目老板也有些担心
目录• 识别攻击• 普通攻击处理• 高级功能• 效率问题• 新业务的挑战• 动态 Cookie• 战争并未结束
识别攻击——基础
• 基于客户端 IP+ 服务端 IP 的频率统计• 基于客户端 Cookie+ 服务端 IP 统计访问频
率
识别攻击——辅助
• Cookie 分散度• URL 分散度• 细粒度频率统计– Host 维度– URL 维度
• 代理 IP 判定
识别攻击——高级
• 跳转识别– 服务端 302 跳转– 客户端 Meta Refresh 跳转
• JS 执行验证– 简单代码– 用户行为提取
• 验证码
攻击行为处理
• 静态页面• 关闭 socket• 延迟处理• 客户端连接挂起
高级功能——虚拟补丁
• 不是 WAF– 简单规则集– 拦截单包型 DOS 攻击请求– 拦截特征明显的请求
高级功能—— QPS 限流
• 最后的防线– 攻击行为达到完美程度– 放弃部分访问,保障重点地区用户
效率问题
• C/S 架构,异步调用– Web server 端不计算– 分析端定期推送
• 内存 cache– Hashtab 查找匹配
效率问题——架构图
WEB Server
SEC Module
SEC Client
SHM
CMD Interface
Client1 Client 2 Client N
CMD Interface
WEB Interface
SEC Server
register
http event
http event
configuration
configuration
效率问题——效果
• Web Server 消耗约 50MB 内存• 8 万黑名单, QPS 下降小于 3%
新业务带来的变化
当用户从 PC 向移动 APP 迁移时会发生什么?
新业务带来的变化
正常用户来源分散,攻击者比较集中
正常用户与攻击者一样,来源比较集中
新业务带来的变化
正常用户使用浏览器,攻击者使用其它程序
正常用户与攻击者一样,都使用非浏览器的其它程序
变化带来哪些问题?
• 基于 IP 的访问频率统计不准确• 高级识别策略造成大范围误杀– 正常的 WEB API 接口( json 、 xml )– 正常的移动 APP 程序
简单方案
• 无线 IP 库– 扩大阈值甚至豁免
• 自证清白– 你说你是浏览器, show me– 基于 user-agent 来做跳转和执行验证
动态 cookie 方案——简介
• 什么是动态 cookie– 突然插入– 生存期短,不停变动
动态 cookie 方案——实现
• 基于阈值触发– 人工设置很小的阈值– 基于历史学习的阈值
• 连续多次种植– 包含序列号、 IP 、时间戳,加密–种植次数与访问速率成正比
• 检验携带正确 cookie 的比率
动态 cookie 方案——数据支持
• 70%左右的 APP默认支持 cookie– IOS 约 23%占有率, ASIHttpRequest默认支持– Android 约 59%占有率, httpclient默认支持• 从某市场统计,约 80%安卓 APP 使用 httpclient 库
战争并未结束
这个方案是很容易绕过的
战争并未结束
即使绕过,也可“缓解”攻击
战争并未结束
真正的防御,不应该害怕公开抛砖引玉,期待各位有更好的方案
尾声
云舒 阿里巴巴集团安全部高级专家http://t.qq.com/yunshuhttp://weibo.com/pstyunshu