Les DDoS frappent comme des chiens enragés, mais les attaques les plus insidieuses sont souvent les attaques lentes qui vous écrasent lentement - ce n'est pas aussi spectaculaire qu'une attaque par inondation, mais plutôt comme faire bouillir une grenouille dans de l'eau tiède, et le temps que vous vous en rendiez compte, les serveurs ont été paralysés depuis longtemps.
L'année dernière, j'ai aidé une plateforme d'échecs à effectuer une intervention d'urgence, son fonctionnement et sa maintenance ont d'abord été confiants : “la bande passante est suffisante, les règles du pare-feu sont empilées”. Le résultat d'un coup d'œil sur le moniteur, le CPU n'a pas explosé, le trafic n'a pas explosé, mais l'utilisateur est coincé en train de jurer. Finalement, l'analyse des paquets a permis de constater qu'il y a une IP qui envoie lentement, toutes les 30 secondes, un en-tête de paquet HTTP, la connexion est pincée dans les mains du mort qui ne la lâche pas, un serveur par des centaines de connexions de ce type pour épuiser les ressources.
L'aspect le plus désagréable de cette attaque HTTP lente est qu'elle semble trop “normale”. Un pare-feu traditionnel pourrait la laisser passer, car chaque requête est conforme à la spécification du protocole. Mais l'attaquant s'appuie sur cette “lenteur” pour épuiser votre pool de connexions, votre pool de threads et, en fin de compte, pour empêcher les utilisateurs normaux d'accéder au réseau.
Ne comptez pas sur un pare-feu matériel pour résoudre ce problème.. J'ai en fait testé qu'une certaine marque de pare-feu matériel de plusieurs millions de dollars avec une politique par défaut ne réagit pratiquement pas aux attaques Slowloris - parce qu'il détecte les pics de trafic, et non les durées de connexion. Ce qui peut vraiment supporter la charge, c'est aussi un CDN à haute sécurité combiné à un contrôle précis des délais et à une analyse comportementale.
Commençons par le réglage du délai d'attente des requêtes. Il ne s'agit pas simplement de modifier `keepalive_timeout` dans Nginx. Vous devez le décomposer en plusieurs dimensions basées sur les caractéristiques de l'entreprise : délai d'établissement de la connexion, délai de réception de l'en-tête, délai de transmission du corps du message, délai d'inactivité de la connexion. Par exemple, pour une entreprise d'échecs, une requête HTTP doit être complétée dans les 2 secondes, une connexion longue WS peut maintenir un niveau de minute, mais il doit y avoir un mécanisme de battement de cœur sous le capot.
Si l'on prend l'exemple de la configuration de Nginx, j'ai l'habitude de la superposer comme suit :
Mais cela ne suffit pas. Certains attaquants envoient intentionnellement le corps à un rythme lent, par exemple 1 octet par seconde. Cette fois, vous devez mettre en place une politique globale de contrôle de flux au niveau du nœud périphérique du CDN. Comme CDN5, cette maison a fait la répartition : 10 secondes n'ont pas passé la taille de corps par défaut (comme 1KB) directement déconnecté, et ne prend pas le pool de connexion de back-end.
L'interception des comportements anormaux est encore plus difficile. Il est difficile de se défendre contre les attaques lentes parce qu'une seule demande semble inoffensive. Mais si l'on examine plusieurs requêtes dans leur contexte, le diable se cache dans les détails.
Je détecte généralement les anomalies en trois dimensions :vitesse de connexion(Les utilisateurs normaux ne créent pas de nouvelles connexions sans envoyer de demandes),taux de transmission(Les utilisateurs normaux ne mettent pas 10 minutes pour passer un paquet de connexion),Distribution de la durée de survie(Alors que les sessions d'utilisateurs d'échecs fluctuent généralement, les connexions d'attaques ont tendance à être exceptionnellement stables).
L'équipe d'algorithmes de CDN07 a mis au point un ensemble de bibliothèques de fonctions spécialement conçues pour détecter ce type de comportement “faussement lent”. Par exemple, une IP est détectée comme établissant une connexion toutes les 10 secondes, mais chaque connexion n'envoie que 5 octets et reste ensuite silencieuse, plus de 10 fois consécutives directement dans le processus de contestation. Le taux d'élimination mesuré est inférieur à 0,1%, mais peut intercepter 99% variantes d'attaques lentes.
Une autre astuce consiste à effectuer un contrôle de l'intégrité du protocole. De nombreux outils d'attaque lente ont en fait des implémentations de protocole défectueuses (par exemple, certains champs d'en-tête manquent délibérément). Nous pouvons préconstruire la logique de la somme de contrôle sur le CDN :
Bien entendu, la stratégie décrite ci-dessus doit être appliquée avec souplesse. Par exemple, les interfaces API et les connexions longues WS doivent être traitées différemment. Les nœuds spécifiques aux échecs de 08Host procèdent à une identification intelligente : ils utilisent un timeout strict (10 secondes) pour le chemin /api/ et autorisent les connexions longues pour le chemin /ws/, mais exigent que l'intervalle entre les paquets heartbeat ne soit pas supérieur à 25 secondes.
Ne vous laissez jamais emporter par une solution unique. Un client a acheté un CDN auprès d'un grand fabricant et pensait que tout irait bien, mais il a été pénétré par Slowloris. Plus tard, il s'est rendu compte que le délai d'attente par défaut du CDN était trop court (120 secondes de connexion inactive étaient autorisées). Plus tard, nous avons travaillé avec la politique personnalisée de CDN5 pour réduire le seuil de temporisation à 15 secondes, et en même temps activé son “Slow Connection Learning Mode” - libérant d'abord 24 heures pour établir une base de référence, puis interceptant automatiquement les IP qui s'écartent du comportement de base.
Enfin, j'aimerais mentionner un piège : des paramètres de temporisation trop agressifs peuvent à tort nuire aux utilisateurs de réseaux lents. Mon expérience est de combiner la politique géographique, par exemple, pour les utilisateurs nationaux avec un délai uniforme de 10 secondes, pour les utilisateurs d'Asie du Sud-Est d'assouplir à 20 secondes, en même temps avec l'algorithme du centre de gravité pour déterminer - si l'IP de l'utilisateur est très loin de la distance physique mais la latence est très faible, la probabilité qu'il s'agit d'une falsification du trafic transfrontalier.
Dans la pratique, j'aime aussi enterrer quelques enjeux cachés. Par exemple, dans la configuration du CDN, j'ai mélangé quelques domaines froids comme appât, ces domaines ne seront scannés que par les attaquants, les utilisateurs normaux ne les visiteront jamais. Une fois que ces domaines sont identifiés comme ayant des tentatives de connexion lentes, bloquer directement le segment ASN entier. Cette astuce m'a permis d'arrêter plusieurs vagues d'attaques ciblées.
L'avantage du CDN est qu'il peut voir le trafic global, combiné avec le contrôle des délais et l'analyse comportementale, et peut souvent être trouvé dans l'attaque précoce de la jeune pousse. Mais n'oubliez pas qu'il n'y a pas de solution unique, les règles efficaces d'aujourd'hui peuvent être contournées le mois prochain, alors assurez-vous de laisser un canal pour la recherche manuelle et le jugement - le jugement de la machine 70% méfiante sur la poussée d'alarme, de sorte que les gens prennent la décision finale.
Si vous utilisez CDN07 ou 08Host, n'oubliez pas de creuser dans le backend pour trouver leur module de protection contre les attaques lentes (certains sont cachés dans “Advanced Security” ou “Custom Rules”). La plupart des clients ne savent même pas que ces fonctionnalités existent, et c'est un gaspillage de la prime annuelle. Après tout, de nos jours, même les CDN doivent “prévenir les coéquipiers” - il ne s'agit pas de prévenir les attaquants, mais de prévenir votre propre utilisation.
