CC攻击与移动APP业务  云舒 2013年3月
前面的话• 这不是我最想讲的题目• 这个题目老板也有些担心
目录•   识别攻击•   普通攻击处理•   高级功能•   效率问题•   新业务的挑战•   动态Cookie•   战争并未结束
识别攻击——基础• 基于客户端IP+服务端IP的频率统计• 基于客户端Cookie+服务端IP统计访问频率
识别攻击——辅助• Cookie分散度• URL分散度• 细粒度频率统计 – Host维度 – URL维度• 代理IP判定
识别攻击——高级• 跳转识别 – 服务端302 跳转 – 客户端Meta Refresh跳转• JS执行验证 – 简单代码 – 用户行为提取• 验证码
攻击行为处理•   静态页面•   关闭socket•   延迟处理•   客户端连接挂起
高级功能——虚拟补丁• 不是WAF – 简单规则集 – 拦截单包型DOS攻击请求 – 拦截特征明显的请求
高级功能——QPS限流• 最后的防线 – 攻击行为达到完美程度 – 放弃部分访问,保障重点地区用户
效率问题• C/S架构,异步调用 – Web server端不计算 – 分析端定期推送• 内存cache – Hashtab查找匹配
效率问题——架构图                                          Client 2          Client NClient1    WEB Server           SEC ModuleSHM...
效率问题——效果• Web Server消耗约50MB内存• 8万黑名单,QPS下降小于3%
新业务带来的变化当用户从PC向移动APP迁移时   会发生什么?
新业务带来的变化正常用户来   正常用户与源分散,攻   攻击者一样,击者比较集   来源比较集中       中
新业务带来的变化        正常用户与正常用户使        攻击者一样,用浏览器,        都使用非浏攻击者使用        览器的其它其它程序        程序
变化带来哪些问题?• 基于IP的访问频率统计不准确• 高级识别策略造成大范围误杀 – 正常的WEB API接口(json、xml) – 正常的移动APP程序
简单方案• 无线IP库 – 扩大阈值甚至豁免• 自证清白 – 你说你是浏览器,show me – 基于user-agent来做跳转和执行验证
动态cookie方案——简介• 什么是动态cookie – 突然插入 – 生存期短,不停变动
动态cookie方案——实现• 基于阈值触发 – 人工设置很小的阈值 – 基于历史学习的阈值• 连续多次种植 – 包含序列号、IP、时间戳,加密 – 种植次数与访问速率成正比• 检验携带正确cookie的比率
动态cookie方案——数据支持• 70%左右的APP默认支持cookie – IOS约23%占有率,ASIHttpRequest默认支持 – Android约59%占有率,httpclient默认支持   • 从某市场统计,约80%安卓APP...
战争并未结束这个方案是很容易绕过的
战争并未结束即使绕过,也可“缓解”攻击
战争并未结束真正的防御,不应该害怕公开抛砖引玉,期待各位有更好的方案
尾声云舒 阿里巴巴集团安全部高级专家http://t.qq.com/yunshuhttp://weibo.com/pstyunshu
Upcoming SlideShare
Loading in …5
×

http flood and mobile app

2,966 views

Published on

Published in: Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,966
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
87
Comments
0
Likes
6
Embeds 0
No embeds

No notes for slide

http flood and mobile app

  1. 1. CC攻击与移动APP业务 云舒 2013年3月
  2. 2. 前面的话• 这不是我最想讲的题目• 这个题目老板也有些担心
  3. 3. 目录• 识别攻击• 普通攻击处理• 高级功能• 效率问题• 新业务的挑战• 动态Cookie• 战争并未结束
  4. 4. 识别攻击——基础• 基于客户端IP+服务端IP的频率统计• 基于客户端Cookie+服务端IP统计访问频率
  5. 5. 识别攻击——辅助• Cookie分散度• URL分散度• 细粒度频率统计 – Host维度 – URL维度• 代理IP判定
  6. 6. 识别攻击——高级• 跳转识别 – 服务端302 跳转 – 客户端Meta Refresh跳转• JS执行验证 – 简单代码 – 用户行为提取• 验证码
  7. 7. 攻击行为处理• 静态页面• 关闭socket• 延迟处理• 客户端连接挂起
  8. 8. 高级功能——虚拟补丁• 不是WAF – 简单规则集 – 拦截单包型DOS攻击请求 – 拦截特征明显的请求
  9. 9. 高级功能——QPS限流• 最后的防线 – 攻击行为达到完美程度 – 放弃部分访问,保障重点地区用户
  10. 10. 效率问题• C/S架构,异步调用 – Web server端不计算 – 分析端定期推送• 内存cache – Hashtab查找匹配
  11. 11. 效率问题——架构图 Client 2 Client NClient1 WEB Server SEC ModuleSHM register http event SEC Server SEC Client WEB http event Interface configuration CMD configuration CMD Interface Interface
  12. 12. 效率问题——效果• Web Server消耗约50MB内存• 8万黑名单,QPS下降小于3%
  13. 13. 新业务带来的变化当用户从PC向移动APP迁移时 会发生什么?
  14. 14. 新业务带来的变化正常用户来 正常用户与源分散,攻 攻击者一样,击者比较集 来源比较集中 中
  15. 15. 新业务带来的变化 正常用户与正常用户使 攻击者一样,用浏览器, 都使用非浏攻击者使用 览器的其它其它程序 程序
  16. 16. 变化带来哪些问题?• 基于IP的访问频率统计不准确• 高级识别策略造成大范围误杀 – 正常的WEB API接口(json、xml) – 正常的移动APP程序
  17. 17. 简单方案• 无线IP库 – 扩大阈值甚至豁免• 自证清白 – 你说你是浏览器,show me – 基于user-agent来做跳转和执行验证
  18. 18. 动态cookie方案——简介• 什么是动态cookie – 突然插入 – 生存期短,不停变动
  19. 19. 动态cookie方案——实现• 基于阈值触发 – 人工设置很小的阈值 – 基于历史学习的阈值• 连续多次种植 – 包含序列号、IP、时间戳,加密 – 种植次数与访问速率成正比• 检验携带正确cookie的比率
  20. 20. 动态cookie方案——数据支持• 70%左右的APP默认支持cookie – IOS约23%占有率,ASIHttpRequest默认支持 – Android约59%占有率,httpclient默认支持 • 从某市场统计,约80%安卓APP使用httpclient库
  21. 21. 战争并未结束这个方案是很容易绕过的
  22. 22. 战争并未结束即使绕过,也可“缓解”攻击
  23. 23. 战争并未结束真正的防御,不应该害怕公开抛砖引玉,期待各位有更好的方案
  24. 24. 尾声云舒 阿里巴巴集团安全部高级专家http://t.qq.com/yunshuhttp://weibo.com/pstyunshu

×