Enviar búsqueda
Cargar
http flood and mobile app
•
Descargar como PPTX, PDF
•
7 recomendaciones
•
1,976 vistas
I
im_yunshu
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 24
Descargar ahora
Recomendados
新浪微博平台与安全架构
新浪微博平台与安全架构
n716
Webify 一键部署
Webify 一键部署
琦 胡
Startup4Chinese #10: 高手不說的事 --- 大流量架構設計法則
Startup4Chinese #10: 高手不說的事 --- 大流量架構設計法則
Ke Zheng
去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验
mysqlops
美团点评技术沙龙13-前端工程化开发方案app-proto介绍
美团点评技术沙龙13-前端工程化开发方案app-proto介绍
美团点评技术团队
1130 Windows server 2008 - IIS 7.0 伺服器效能管理
1130 Windows server 2008 - IIS 7.0 伺服器效能管理
Timothy Chen
Security-device-virtualization-lastest
Security-device-virtualization-lastest
im_yunshu
網頁弱點掃描服務簡報 20120606
網頁弱點掃描服務簡報 20120606
Fionsu
Recomendados
新浪微博平台与安全架构
新浪微博平台与安全架构
n716
Webify 一键部署
Webify 一键部署
琦 胡
Startup4Chinese #10: 高手不說的事 --- 大流量架構設計法則
Startup4Chinese #10: 高手不說的事 --- 大流量架構設計法則
Ke Zheng
去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验
mysqlops
美团点评技术沙龙13-前端工程化开发方案app-proto介绍
美团点评技术沙龙13-前端工程化开发方案app-proto介绍
美团点评技术团队
1130 Windows server 2008 - IIS 7.0 伺服器效能管理
1130 Windows server 2008 - IIS 7.0 伺服器效能管理
Timothy Chen
Security-device-virtualization-lastest
Security-device-virtualization-lastest
im_yunshu
網頁弱點掃描服務簡報 20120606
網頁弱點掃描服務簡報 20120606
Fionsu
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
ITband
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
Chao Zhu
Web server and_cgi
Web server and_cgi
xu liwei
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
锐 张
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
colderboy17
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
guiyingshenxia
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
guiyingshenxia
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
colderboy17
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
drewz lin
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
Mocha Bsm
Mocha Bsm
王 莆中
虚拟化与云计算
虚拟化与云计算
ITband
Nodejs & NAE
Nodejs & NAE
q3boy
Heat在企业中的应用实践
Heat在企业中的应用实践
xuanlangjian
深入研究雲端應用程式平台-AppFabric
深入研究雲端應用程式平台-AppFabric
John Chang
面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立
Dahui Feng
唯品会大数据实践 Sacc pub
唯品会大数据实践 Sacc pub
Chao Zhu
徐晓 Qq空间技术架构之峥嵘岁月
徐晓 Qq空间技术架构之峥嵘岁月
drewz lin
中国联通沃商店客户端功能特色
中国联通沃商店客户端功能特色
ocean1110
IDC大会:新浪SAE架构与设计
IDC大会:新浪SAE架构与设计
Xi Zeng
Más contenido relacionado
Similar a http flood and mobile app
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
ITband
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
Chao Zhu
Web server and_cgi
Web server and_cgi
xu liwei
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
锐 张
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
colderboy17
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
guiyingshenxia
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
guiyingshenxia
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
colderboy17
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
drewz lin
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
Mocha Bsm
Mocha Bsm
王 莆中
虚拟化与云计算
虚拟化与云计算
ITband
Nodejs & NAE
Nodejs & NAE
q3boy
Heat在企业中的应用实践
Heat在企业中的应用实践
xuanlangjian
深入研究雲端應用程式平台-AppFabric
深入研究雲端應用程式平台-AppFabric
John Chang
面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立
Dahui Feng
唯品会大数据实践 Sacc pub
唯品会大数据实践 Sacc pub
Chao Zhu
徐晓 Qq空间技术架构之峥嵘岁月
徐晓 Qq空间技术架构之峥嵘岁月
drewz lin
中国联通沃商店客户端功能特色
中国联通沃商店客户端功能特色
ocean1110
IDC大会:新浪SAE架构与设计
IDC大会:新浪SAE架构与设计
Xi Zeng
Similar a http flood and mobile app
(20)
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
Web server and_cgi
Web server and_cgi
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
新浪云计算公开课第一期:Let’s run @ sae(丛磊)
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
网易 李弈远 网易服务集成框架的构建与运维
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
Top100summit 腾讯-周健-服务化与体系化解决大量定制小项目开发困境
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
Mocha Bsm
Mocha Bsm
虚拟化与云计算
虚拟化与云计算
Nodejs & NAE
Nodejs & NAE
Heat在企业中的应用实践
Heat在企业中的应用实践
深入研究雲端應用程式平台-AppFabric
深入研究雲端應用程式平台-AppFabric
面向生产环境的SOA系统设计 by 程立
面向生产环境的SOA系统设计 by 程立
唯品会大数据实践 Sacc pub
唯品会大数据实践 Sacc pub
徐晓 Qq空间技术架构之峥嵘岁月
徐晓 Qq空间技术架构之峥嵘岁月
中国联通沃商店客户端功能特色
中国联通沃商店客户端功能特色
IDC大会:新浪SAE架构与设计
IDC大会:新浪SAE架构与设计
http flood and mobile app
1.
CC攻击与移动APP业务 云舒
2013年3月
2.
前面的话 • 这不是我最想讲的题目 • 这个题目老板也有些担心
3.
目录 •
识别攻击 • 普通攻击处理 • 高级功能 • 效率问题 • 新业务的挑战 • 动态Cookie • 战争并未结束
4.
识别攻击——基础 • 基于客户端IP+服务端IP的频率统计 • 基于客户端Cookie+服务端IP统计访问频率
5.
识别攻击——辅助 • Cookie分散度 • URL分散度 •
细粒度频率统计 – Host维度 – URL维度 • 代理IP判定
6.
识别攻击——高级 • 跳转识别 –
服务端302 跳转 – 客户端Meta Refresh跳转 • JS执行验证 – 简单代码 – 用户行为提取 • 验证码
7.
攻击行为处理 •
静态页面 • 关闭socket • 延迟处理 • 客户端连接挂起
8.
高级功能——虚拟补丁 • 不是WAF –
简单规则集 – 拦截单包型DOS攻击请求 – 拦截特征明显的请求
9.
高级功能——QPS限流 • 最后的防线 –
攻击行为达到完美程度 – 放弃部分访问,保障重点地区用户
10.
效率问题 • C/S架构,异步调用 –
Web server端不计算 – 分析端定期推送 • 内存cache – Hashtab查找匹配
11.
效率问题——架构图
Client 2 Client N Client1 WEB Server SEC Module SHM register http event SEC Server SEC Client WEB http event Interface configuration CMD configuration CMD Interface Interface
12.
效率问题——效果 • Web Server消耗约50MB内存 •
8万黑名单,QPS下降小于3%
13.
新业务带来的变化 当用户从PC向移动APP迁移时
会发生什么?
14.
新业务带来的变化 正常用户来
正常用户与 源分散,攻 攻击者一样, 击者比较集 来源比较集 中 中
15.
新业务带来的变化
正常用户与 正常用户使 攻击者一样, 用浏览器, 都使用非浏 攻击者使用 览器的其它 其它程序 程序
16.
变化带来哪些问题? • 基于IP的访问频率统计不准确 • 高级识别策略造成大范围误杀
– 正常的WEB API接口(json、xml) – 正常的移动APP程序
17.
简单方案 • 无线IP库 –
扩大阈值甚至豁免 • 自证清白 – 你说你是浏览器,show me – 基于user-agent来做跳转和执行验证
18.
动态cookie方案——简介 • 什么是动态cookie –
突然插入 – 生存期短,不停变动
19.
动态cookie方案——实现 • 基于阈值触发 –
人工设置很小的阈值 – 基于历史学习的阈值 • 连续多次种植 – 包含序列号、IP、时间戳,加密 – 种植次数与访问速率成正比 • 检验携带正确cookie的比率
20.
动态cookie方案——数据支持 • 70%左右的APP默认支持cookie –
IOS约23%占有率,ASIHttpRequest默认支持 – Android约59%占有率,httpclient默认支持 • 从某市场统计,约80%安卓APP使用httpclient库
21.
战争并未结束 这个方案是很容易绕过的
22.
战争并未结束 即使绕过,也可“缓解”攻击
23.
战争并未结束 真正的防御,不应该害怕公开 抛砖引玉,期待各位有更好的方案
24.
尾声 云舒 阿里巴巴集团安全部高级专家 http://t.qq.com/yunshu http://weibo.com/pstyunshu
Descargar ahora