一、Web+WAF
WAF(Web应用防火墙):是一种专门设计用于保护 Web 应用程序免受恶意攻击的安全设备,它能够实时监控、过滤和拦截可能对网站造成危害的网络流量,从而避免网站服务器被恶意入侵,导致性能异常、数据泄露、服务中断这些问题。
WAF 跟普通防火墙的区别:
-
作用层面不一样
-
- WAF 主要应用于 web 的应用层,能够检测并且来阻止基于 HTTP 协议的网络攻击
- 普通防火墙主要应用于 web 的 网络层,主要是关注网络流量的源和目标地址以及端口还有协议类型
-
防御对象不一样
-
- WAF 只在防御特定的 web 应用程序漏洞,比如说 SQL 注入、XSS、RFI、命令注入等等
- 普通防火墙主要是用于防御更广泛的网络威胁,包括未授权的访问、DDos、Dos 还有恶意软件传播等等
-
部署位置不一样
-
- WAF 通常部署在网络边界的内部,临近 Web 服务器或者是作为负载均衡器的一部分
- 普通防火墙通常部署在网络层的边缘,相当于内外网之间的屏障
核心影响:防护能力提升,它会直接拦截常规的Web攻击,导致扫描工具失效,甚至可能触发动态封禁策略,封锁测试IP。
**绕过方式:**利用WAF与后端服务器对HTTP协议解析的不一致(分块传输、参数污染等),找WAF规则没覆盖的payload形式、请求方法、编码方式。
例如:以WebGoat为靶站、雷池WAF为防护,检验WAF效果的一种常用方法是尝试绕过其规则,即所谓的WAF Bypass。
二、Web+CDN
CDN 的全称是 Content Delivery Network,即内容分发网络。CDN 是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN 的关键技术主要有内容存储和分发技术。
CDN 的基本原理:广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站时,利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。
CDN 的目标:加速访问,但同时也隐藏了源站服务器的真实 IP 地址。
核心影响:源站隐蔽性增强,主要挑战在于信息收集可能出错,因为扫描到的 IP 是 CDN 节点而非真正的源站(真实服务器的 IP 地址),导致收集的信息不准确。
攻击利用方式:利用部分子域名、邮件服务、历史 DNS 中未配置 CDN 的"暴露面不一致",寻找没有经过 CDN 的入口(如子域名、邮件服务、非标准端口)。
用超级 ping 工具判断 CDN:
- 不同地区 IP 不一致 → 有 CDN;
- 一致 → 无 CDN。
三、Web+OSS
**对象存储服务 (OSS) :**它是一种专门存放图片、视频、文档等非结构化数据的云存储服务。它就像云上的无限容量仓库,自带多重备份,你可以随时通过网络存取文件,无需关心文件如何摆放或仓库如何维护。
典型场景:网站静态资源托管、云盘应用和音视频归档等
核心影响:
- 优点:它从根本上"堵住了"传统的文件上传漏洞。因为文件上传后,Web服务器不解析,无法获得Webshell。影响文件上传类漏洞,即使你上传了一个后门文件,它也不能执行,只能打开或者下载下来
- 缺点 :引入了全新的、高风险攻击面 。一旦控制OSS的
AccessKey泄露,可能导致整个存储桶的数据泄露甚至被接管
OSS 风险:源于开发者配置不当(Bucket公有读写、AK/SK硬编码),而非OSS本身缺陷。
攻击利用方式:找泄露的AK/SK、错误配置的Bucket权限、可预测的文件名。
四、Web+反向代理
正向代理:为客户端服务,客户端主动通过代理访问目标(无代理时可能无法直接访问)。
反向代理:为服务端服务,接收客户端请求后转发给内部后端服务器(后端不直接对外暴露,因此"不主动则不可达")。
- 核心影响:隐藏真实服务器,攻击者接触的只是代理节点,而非真实的应用服务器。
- 反向代理风险:路径遍历、请求走私、SSRF 等,这些漏洞源于代理配置或转发逻辑的缺陷。
- 攻击利用方式 :寻找代理转发时未严格过滤的特殊请求,如
../及其编码形式(%2e%2e%2f)、HTTP 请求走私等。
五、Web+负载均衡
负载均衡作用:
- 统一入口:对外提供唯一的访问入口,用户只需访问同一域名,无需关心后端服务器数量
- 流量分发:根据规则将请求分配给后端多台服务器,分摊压力,提高并发处理能力
- 健康监测:实时监测后端服务器健康状态,自动剔除故障服务器,保证服务可用性
- SSL 卸载:统一处理 HTTPS 加密解密,减轻后端服务器负担
常见的负载均衡器:
1、七层负载均衡(应用层,HTTP/HTTPS):工作在应用层,可以根据 HTTP 请求的内容(比如 URL 路径,Cookie,请求头等)进行转发。
- 特点:最灵活,成本最低,但是单机只能支撑几万到十几万的并发,适合中小型网站
(1) Nginx 负载均衡
- 配置 Nginx 负载均衡
css
#定义负载设置
upstream fzjh{
server 120.26.70.72:80 weight=1;
server 47.75.212.155:80 weight=2;
server 78.54.212.155:80 weight=3;
}
#定义访问路径 访问策略
location / {
proxy_pass http://fzjh/;
}- 工作原理: 配置 Nginx,由 3 台服务器组成了一个集群,Nginx 会自动把收到的请求分配给它们
(2)DNS 负载均衡
- 工作原理:在用户浏览器查询域名对应的 IP 地址时,DNS 服务器会根据策略返回不同的服务器 IP,从而实现流量分配
- 优点:实现简单,成本低,适合做全球流量分配
- 缺点:不够灵活,有缓存,改了配置不能立即生效
2、四层负载均衡(传输层,TCP/UDP):工作在传输层,只根据 IP 地址和端口号进行转发,不关心 HTTP 请求的具体内容
- 特点:性能很高,能支撑几十万甚至上百万并发,常用的实现方案是 LVS(Linux 虚拟服务器),它通过修改网络数据包的地址信息,把请求转发到不同的服务器,速度极快,适用于大型网站
3、硬件负载均衡: F5 等专业设备,性能极高但价格昂贵,主要用于大型企业
负载均衡算法:
1、静态算法:按照固定的规则分配,可以分为:
(1)轮询(Round Robin)
原理:按顺序将请求依次分配给每台服务器,循环往复。例如请求1到A,请求2到B,请求3到C,然后请求4再到A。
适用场景:后端服务器性能相近、每个请求处理成本差不多的场景,如简单的Web应用。
(2)加权轮询(Weighted Round Robin)
原理:轮询的升级版,为每台服务器设置权重(如高性能服务器权重设为3,低性能设为1),按权重比例分配请求,让性能高的机器多承担些压力。
适用场景:服务器配置存在差异的集群,最常见的静态策略。
(3)源地址哈希(IP Hash)
原理 :对客户端IP地址计算哈希值,再将结果与服务器数量取模,决定由哪台服务器处理。同一IP的请求会始终落到同一台服务器
适用场景 :需要会话保持(Session Sticky) 的场景,比如用户登录状态存储在本地内存中的老式应用。但要注意,后端服务器变化(如扩缩容)会导致路由结果大变。
(4)一致性哈希
原理:优化了源地址哈希的扩缩容问题。将服务器和请求哈希到一个虚拟圆环上,请求找到顺时针最近的服务器节点。当服务器增减时,只影响圆环上相邻的一小段区域。
适用场景:分布式缓存系统(如Redis Cluster, Memcached),能极大减少服务器变化时缓存失效的"雪崩"风险。
2、动态算法:会根据服务器的实时状态来分配请求,更加灵活
(1)最少连接数(Least Connections)
原理 :将新请求分配给当前活动连接数最少的服务器。负载均衡器会实时跟踪每台服务器的连接数。
适用场景 :请求处理时间长短不一的场景(如有长轮询、上传下载、API调用不同数据库)。例如A服务器有10个长连接任务(处理慢),B服务器只有2个短连接任务(处理快),新请求就会被给到B,避免A过度积压。
(2)最短响应时间(Least Response Time)
原理 :选择响应时间最短(通常是结合了连接数和平均响应延时)的服务器。这是最智能的算法之一。
适用场景 :对延迟敏感、后端性能波动较大的业务,能自动避开响应变慢的问题机器。
核心影响:增加测试的复杂性和不确定性。由于存在多个后端服务器,测试过程中可能会接触到不同节点,导致结果不一致。
负载均衡风险:多节点间的补丁版本、安全配置、缓存状态可能不一致,攻击者可利用最薄弱的节点突破整体防线。
攻击利用方式:探测并锁定安全水位最低的后端节点(如补丁未更新、WAF 规则未同步),专门对其发起攻击。常用方法包括:利用缓存差异识别不同节点、通过修改请求(如 Cookie、来源 IP)绕过会话保持策略,从而访问所有后端节点。