HTTP 降級攻擊存在哪些風險

HTTP降級攻擊存在以下風險：

• 盜竊信息

  使用SSL剝離攻擊，用戶發送到網站的任何信息都可以被黑客或其他人訪問，因為它是以明文形式發送的，而且沒有經過加密。這很容易導致信息被盜，包括知識產權獲有關用戶或公司客戶的敏感的個人身份信息。

• 欺詐性交易

  SSL剝離攻擊不僅允許黑客攔截用戶發送到網站的信息，還允許他們進行反向操作，并更改從網站返回到用戶的通信。這意味著用戶可能會從網站收到不準確的信息，因為信息在傳輸過程中被黑客更改了。以這種方式接收到的錯誤信息可能導致用戶采取與原本計劃完全不同的行動，給個人和公司帶來許多危害。

• 溝通不準確

  通過中間人攻擊竊取用戶的登錄憑據，也可以讓黑客訪問任意數量的附加系統。這意味著，即使只有一個系統容易受到攻擊，它也可能使其他更安全的系統更容易受到攻擊。總的來說，這種情況需要組織的安全團隊確保沒有薄弱環節，無論任何給定的連接點看起來多么簡單。

針對HTTP降級攻擊的防御措施有以下這些：

• URI監測：在指定的時間內，某一個URI的訪問量要是過高，Anti-DDoS就會針對這種情況啟動URI行為檢測，如果檢測出來的訪問數超過規定的閾值，超出的IP訪問數就會被判定加入動態黑名單。所以在配置URI監測時，可將消耗內存或計算資源多、容易受攻擊的URI加入“重點監測URI”列表。

• URI源指紋學習功能：適用于攻擊源訪問的URI比較固定。因為如果要形成攻擊效果，攻擊者一般都事先探測，找到容易消耗系統資源的URI作為攻擊目標，然后一個攻擊源的一個會話上會有多個針對該URI的請求，最終呈現為該源對選定的URI發送大量的請求報文。動態指紋學習正是基于這個原理，Anti-DDoS設備對源訪問的URI進行指紋學習，找到攻擊目標URI指紋，如果對該URI指紋的命中次數高于設置的閾值就將該源加入黑名單。

• HTTP Flood源認證：源認證防御方式是防御HTTP Flood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景，因為瀏覽器支持完整的HTTP協議，可以正常回應重定向報文或者是驗證碼。源認證防御主要包含三種方式分別是基本模式（META刷新）、增強模式（驗證碼認證）、302重定向模式。

• HTTP源統計：HTTP源統計是在基于目的IP流量異常的基礎上，再啟動針對源IP流量進行統計。Anti-DDoS設備首先對到達目的IP的流量進行統計，當目的IP流量觸發告警閾值時，再啟動到達這個目的IP的每個源的流量進行統計，判定具體某個源流量異常，并對源IP的流量進行限速。HTTP源統計功能可以更準確的定位異常源，并對異常源發出的流量進行限速。

回答所涉及的環境：聯想天逸510S、Windows 10。