公司刚上了一套新防火墙,管理员拍着胸脯说‘外网进不来’,结果第二天业务系统就挂了——不是被黑,是被刷爆了。这事儿真不稀奇。防火墙、WAF、IPS这些边界设备,不是一堵铜墙铁壁,而更像小区门口的保安,得看清人、拦住可疑包裹,还得防着有人翻墙、冒充快递员、甚至蹲在门口反复敲门。
SYN Flood:假装要进门,却永远不进来
这是最老也最顽固的流量型攻击。攻击者伪造大量源IP,向服务器发SYN包(TCP三次握手第一步),服务器回SYN-ACK后,等不到对方的ACK确认,连接就卡在半开状态。几千个并发半开连接,就能让一台Web服务器的连接队列塞满,真正用户连不上——就像100个人同时在奶茶店门口喊‘我要点单’,但谁都不进店,后面排队的人只能干等。
典型特征:服务器netstat里看到大量SYN_RECV状态;监控显示SYN包数量突增10倍以上;CPU不高,但新建连接成功率暴跌。
DNS隧道:把数据塞进‘查域名’的请求里
很多人以为DNS只是查www.baidu.com对应哪个IP,其实它能传任意小段数据。攻击者用工具(比如dnscat2)把加密后的命令、文件碎片编码成子域名,比如:
cmd123456789abcdef.exec.abc123.attacker.comHTTP走私(HTTP Smuggling):用两个Content-Length骗过前端和后端
当网络里有反向代理(比如Nginx)+ 应用服务器(比如Tomcat)时,攻击者构造一个畸形HTTP请求,让代理和后端对请求体长度判断不一致。结果就是:代理认为这是一个请求,后端却把它拆成两个——第二个‘幽灵请求’可能绕过鉴权直接打到管理接口。
简单示意(真实中更隐蔽):
POST /search HTTP/1.1
Host: example.com
Content-Length: 44
Content-Length: 0
GET /admin/delete?all=1 HTTP/1.1
Host: example.com
SSL隐藏攻击:加密层下的‘黑盒子’
现在90%以上的网站都用HTTPS。WAF若没开启SSL卸载(即解密再检测),就只能看到加密流。攻击者把SQL注入、XSS载荷全塞进HTTPS请求体里,WAF看不见明文,自然放行。就像快递柜只扫外包装条码,不管箱子里装的是水果还是鞭炮。
有些企业为了省事,把WAF放在SSL卸载之前,等于让防护形同虚设。真正有效的做法是:负载均衡先解密,再把明文交给WAF,最后转发给后端。
API越权探测:专挑‘/api/user/profile’这类路径猛撞
现代架构里,边界设备对API流量识别弱于传统网页。攻击者用脚本批量请求:
GET /api/v1/users/123/orders
GET /api/v1/users/124/orders
GET /api/v1/users/125/orders边界防护不是买一套设备就万事大吉。它得配合后端身份校验、API网关策略、日志联动分析,才能把‘门’守明白。否则再厚的墙,也挡不住从门缝里伸进来的那只手。