java - 如何阻止对 Web API 的 hack/DOS 攻击

Question

上周，我的网站遭受了拒绝服务/黑客攻击。攻击是在循环中使用随机生成的无效 API key 攻击我们的 Web API。

我不确定他们是在尝试猜测 key (在数学上不可能作为 64 位 key )还是尝试对服务器进行 DOS 攻击。攻击是分布式的，所以我不能禁止所有 IP 地址，因为它来自数百个客户端。

我的猜测是IP是Android应用程序，所以有人在Android应用程序中安装了一些恶意软件，并使用所有安装来攻击我的服务器。

服务器是Tomcat/Java，目前web API只是对无效key响应400，缓存多次尝试无效key的IP，但是对于每个bad request还是需要做一些处理。

有什么建议可以阻止攻击吗？有什么方法可以识别从 HTTP header 发出请求的 Android 应用？

Answer 1

防止暴力攻击:

有大量的工具和策略可以帮助您做到这一点，而使用哪种工具和策略完全取决于您的服务器实现和要求。

如果不使用防火墙、IDS 或其他网络控制工具，您无法真正阻止 DDOS 拒绝为您的应用程序提供服务。但是，您可以修改您的应用程序，使暴力攻击变得更加困难。

执行此操作的标准方法是实现锁定或渐进式延迟。如果 IP 登录 N 次失败，则锁定会阻止 IP 发出登录请求 X 分钟。渐进式延迟会使处理每个错误登录请求的延迟越来越长。

如果您使用 Tomcat 的身份验证系统(即您的 webapp 配置中有 <login-constraint> 元素)，您应该使用 Tomcat LockoutRealm ，一旦 IP 地址发出许多错误请求，您就可以轻松地将其锁定。

如果您没有使用 Tomcat 的身份验证系统，那么您将不得不发布更多关于您正在使用的信息以获得更具体的信息。

最后，您可以简单地增加 API key 的长度。 64 位似乎是一个不可逾越的巨大搜索键空间，但按照现代标准，它的权重不足。许多因素可能导致其安全性远低于您的预期:

• 如果您没有适当的保护措施，僵尸网络(或其他大型网络)每秒可能会进行数万次尝试。
• 根据您生成 key 和收集熵的方式，您的 de facto 键空间可能要小得多。
• 随着有效 key 数量的增加，需要的 key 数量试图找到一个有效的(至少在理论上)滴尖锐。

将 API key 长度增加到 128(或 256 或 512)不会花费太多，而且您会极大地增加任何暴力攻击的搜索空间(从而增加难度)。

缓解 DDOS 攻击:

但是，要减轻 DDOS 攻击，您需要做更多的工作。 DDOS 攻击难以防御，如果您不控制服务器所在的网络，则尤其难以防御。

话虽如此，您可以做一些服务器端的事情:

• 安装和配置网络应用防火墙，例如 mod_security , 拒绝违反您定义的规则的传入连接。
• 设置 IDS 系统，例如 Snort , 检测 DDOS 攻击何时发生并采取第一步缓解它
• 见 @Martin Muller's post另一个很好的选择，fail2ban
• 创建自己的 Tomcat Valve ，如 here 所述, 拒绝传入的请求 User-Agents (或任何其他标准)作为最后一道防线。

然而，最终，您可以做的只有这么多，才能免费阻止 DDOS 攻击。服务器只有这么多内存、这么多 CPU 周期和这么多网络带宽；有了足够的传入连接，即使是最有效的防火墙也无法阻止您崩溃。如果您投资于更高带宽的互联网连接和更多服务器，或者如果您在 Amazon Web Services 上部署应用程序，您将能够更好地抵御 DDOS 攻击。 ，或者如果您购买了许多消费者和企业 DDOS 缓解产品之一 (@SDude has some excellent recommendations in his post)。这些选项都不是便宜、快速或简单的，但它们是可用的。

底线:

如果您依赖应用程序代码来缓解 DDOS，那么您已经输了