WAF防扫描工作原理
提起网络安全很多人都会联想到黑客这个概念,像美国电影大片里面的NB黑客,通过一台笔记本就可以随时入侵五角大楼,想想都可怕。现实世界里的黑客通常是利用自己掌握的专业技能和攻击工具,通过各种攻击手段对用户网络进行攻击,进而实现自己最终目的,如重要商业数据窃取、系统攻击等。
随着互联网与物联网技术的快速发展,网络威胁复杂多样,用户安全建设和黑客攻击一直就是一场道与魔的对抗。作为用户必须先了解黑客攻击,做到知己知彼,才能采取准确有效的安全对策来应对非法攻击。黑客常用的攻击方法可以说是变幻莫测,不过仔细分析后也会发现整个攻击的过程是有规律可循的,一般的黑客攻击过程大致如下:
如上图所示,黑客的攻击入侵过程主要包含两部分:一是,突破用户安全防线,即恶意探测和边界突破两个环节;二是,黑客成功进入用户网络后,通过持续的渗透、安装工具、横向移动等步骤,最终实现数据窃取或破坏等目的。
显然黑客开启入侵的第一步即是“恶意探测”,通常也可理解为踩点扫描。黑客为了对攻击目标进行多方了解,最常用的途径就是利用扫描工具对目标用户网络进行端口及漏洞扫描,查看服务器的运行状态等基本信息,一旦发现安全漏洞就会利用其实施攻击,最终达到非法入侵的目的。因此,要想降低安全事件发生的概率,我们必须从源头阻止黑客的攻击。通过防扫描的方式阻止黑客“恶意探测”,让用户在第一时间发现安全威胁并阻止黑客扫描行为,从而提升黑客攻击成本,为自身赢得宝贵的应对时间,大幅度降低黑客侵入企业内网的风险。
目前,虽然市场上大多数的Web应用防火墙产品都具有防扫描功能,用户可通过在应用服务器和黑客扫描器之间部署WAF来有效阻止扫描软件的肆意窥探。但是很多WAF的防扫描功能基于单一的强规则判断方式,仅仅能对数据包中规则进行提取。(所谓强规则是指扫描器的强特征,例如扫描器可能携带其特定的UA,这个特定的UA就是强特征)强特征判定的优点是误判率低,识别速度快,但是它也有个致命的缺点,即随着扫描器版本的升级,强特征会越来越少,WAF产品后续可能根本就无法识别扫描器,防御效果也将大打折扣。
因此,为了提升放扫描功能的安全效果,深信服WAF的防扫描功能在强规则判断的基础上加入了弱规则判断机制,在实现基于数据包分析的同时,也基于扫描行为予以联合判决,大幅提升放扫描的准确程度。 那什么是弱规则判断呢?弱特征就是所有扫描器都会具有的流量行为特征,包含:不常见的方法、扫描目录频率、http请求频率、被拦截的sid频率等扫描行为。深信服WAF的防扫描功能通过制定强特征和弱特征进行有效识别,如果某些扫描器的特征匹配强特征规则就直接予以阻止,对SIP+DIP+DPORT进行封锁;若属于弱特征,就会考察其他弱特征与之的关联性程度,如果关联性高就会形成强规则予以阻止。并且,弱特征判断机制通过流量加权运算,最终保证识别效果并且降低误判。
最后我们一起来看看深信服WAF的防扫描功能的整体工作流程是怎样的。如下图所示,WAF通过强规则和弱规则的匹配判断后,进入恶意扫描封锁阶段:如果WAF最终确认为扫描器的恶意扫描行为 ,需要进行自动封锁,同时为防止http代理带来的误判,需要从代理头部字段获取源IP。
深信服WAF的防扫描功能能够有效防止绿盟极光、启明天镜、安恒Dbappsecurity、WVS、Appscan、Nessus、Hp Web Inspect等主流扫描器的扫描行为,并在扫描器刚开始爬取应用的时候就识别到扫描行为并进行阻断,大幅降低了黑客通过扫描器发现系统安全漏洞的概率。同时,WAF通过对访问网络的流量进行综合分析,可以识别出恶意扫描行为,且对未知的扫描器进行有效拦截。深信服WAF在发现自身安全日志中存在黑客扫描的风险日志后,便将这个源IP添加到永久封堵名单,阻断该源IP后续对服务器的所有访问,快速降低安全事件发生的可能性。
