谨防攻击混淆:检测使用Web代理服务器的攻击

日期: 2014-11-09 作者:Nick Lewis翻译:邹铮 来源:TechTarget中国 英文

听说现在攻击者会利用Web代理服务器来隐藏正在执行其攻击的设备。我知道我们只能够拦截IP地址,但我们有些客户也在使用Web代理服务器。是否有其他方式来阻止和防止此类攻击,而不会失去合法的通信?

Nick Lewis:攻击者一直在混淆源IP地址,只要IP网络在使用中。以前很多隐藏源IP地址的方法(例如伪造源IP地址)可以通过遵循BCP38的建议来进行阻止,BCP38即仅为“你的企业网络和客户路由网络流量”。

虽然自BCP38发布的近25年以来,检测系统已经有所改进,但攻击者仍然有很多办法来混淆执行攻击的设备的源IP地址;例如,这可以使用Tor、Web代理服务器或网络地址转换来完成。重要的是要注意,Web代理服务器可以用来提高系统的安全性,因为它可以滤掉通过未加密Web代理服务器的恶意加密流量。Web代理服务器还可以为合法用户提供一定水平的匿名性。然而,Web代理服务器也可能会影响隐私性,但这是另一回事了。

阻止单个IP地址或Web代理服务器并不会具有可扩展性。但提高对可疑单个IP的监控可以帮助识别正在进行的攻击,并帮助确定哪些系统已经受到感染。

企业也可以订阅黑名单或威胁情报服务来帮助保持最新IP阻止列表,仅阻止未经批准的代理服务器。然而,这可能仍然非常具有挑战性,因为你不想要阻止合法客户。根据你想要阻止恶意连接的方式,你可以提高用于验证合法连接的身份验证,或者甚至在你的Web应用前面部署Web代理服务器(或者Web应用防火墙),以过滤掉到目的Web应用的未经验证的连接。你还可以对客户的网络使用白名单的办法来设置对web应用的访问权限。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

翻译

邹铮
邹铮