黑名单里的IP“越狱”了
长连接中无法提取XFF
性能是破局关键
所以,把IP封了攻击照样能进来,只能一条条看告警呗?
显然不是。只要性能足够,在长连接中对每个请求检查XFF,就能有效解决这个问题。其价值在于:
第一,确保黑名单生效,包括在攻防演练场景下高可信的攻击队IP;
第二,对检测到的攻击进行溯源定位,提取源IP并自动封禁,无需在其他设备上手动查找。
前不久,微步威胁防御系统OneSIG,上线了长连接检测功能,并且在性能方面具备两个层面的优势。
硬件层面,搭载了高性能CPU、网卡,能够提供充足的性能冗余;
软件层面,采用高性能底层架构,进一步提升了检测和转发效率。
与防火墙不同的是,OneSIG可对每个请求进行深度拆包检测,且性能早已经过实战验证:单台设备的封禁记录超百万(最大支持千万IP/域名的并发封禁,秒级生效),性能几乎不受影响。
部署、配置完成后,OneSIG就能对长连接中提取到的攻击IP,按照预设规则自动执行封禁策略,降低态感上的告警,不会出现因XFF和长连接导致的封禁失效。
↓
以前一直用防火墙做封禁,但不支持XFF,封禁效果不太好。OneSIG配置XFF后,效果不错,XFF提取也比较准确,而且减少了90%以上的告警。
联系微步
扫码即刻沟通试用
↓↓↓
