网络安全： 访问控制（对进出网络的信息进行过滤，并使对 HTTP等协议进行命令级控制） 入侵防范（木马、DDoS、缓冲区溢出） 安全审计 恶意代码防范 数据安全： 数据完整性（应能检测到重要业务数据的完整性 破坏，并采取必要的恢复措施） 第二级 网络安全： 入侵防范（木马、DDoS、缓冲区溢出） 安全审计 1.5.攻击案例 n 略 提纲 一、背景概述 二、典型攻击 三、攻防原理 防护方法 n 修补web服务器漏洞 n 用户输入过滤 51 3.6.分布式拒绝服务攻击 52 概述 n Distributed Denial of Service （DDoS) q 利用网络协议存在的固有漏洞，伪造合理的服务请求，消耗 有限的网络带宽或占用过多的服务资源，使网络或者服务无 法响应用户的正常请求，造成网络服务瘫痪。 q 资源耗尽型有：UDP DNS 集合的攻击程序包或者脚本:Ttools、rape q DDoS 攻击工具:TFN/TFN 2K .. q 工具变种:红色代码、SQL Slammer DDoS攻击DEMO 风险 n 系统服务中断 n 网络服务中断 n 互联网关键基础设施故障（如DNS等），进而 造成大范围网络中断 防护方法 n 增加资源投入 n 系统优化 n 网络优化 n 抗DDoS设备 64 3.7.认证和会话管理失效

感性认识—误报和漏报难以平衡 尝试寻找有理证明 WAF自身安全 正则表达式 计算复杂度 正则表达式DDOS攻击 非Regex DOS WAF防御能力 正则表达式DDOS攻击 提出一种正则表达式的DDOS攻击： 正则表达式的最坏时间复杂度大于等 于?(?2 )，该正则表达式可被DDOS 攻击 输入长度 (K) PCRE/PHP(ms) JAVA(ms) 1 0.5 142 8 458 500 10 720 786 20 2910 2941 Regex DDOS与Regex DOS不同 • ?(?2 )，?(2?) • Regex DDOS目前普遍存在 • Regex DOS很难找到了 寻找能被DDOS的正则表达式 寻找最坏时间复杂度大于等于? ?? 的正则表达式 利用正则表达式匹配的回溯 正则表达式匹配原理：NFA 匹配算法需要尝试每一条路径，直到找到一条匹配路径。尝试所有路径失败则匹配失败。 • 尝试所有匹配路径 • 路径尝试失败，需要回溯 正则表达式DDOS原理 正则：A.*B 文 本：AAN 正则：A.*B 文本：AAN 可被DDOS的一种正则表达式模式 ??????? = (????)(????)∗(SubC)，其中???? ∈ ???? 例如