如何分析數(shù)據(jù)庫防火墻阻斷方式中的行為阻斷或者Session阻斷

行為阻斷是數(shù)據(jù)庫防火墻的自然工作方式。當(dāng)檢測到入侵行為的時候，阻斷該行為的操作。行為阻斷依據(jù)響應(yīng)偏好的不同，可以工作在不同模式之下。

模式一：錯誤響應(yīng)模式

阻斷操作之后，返回預(yù)先定義的錯誤信息，使應(yīng)用程序可以構(gòu)造合理的錯誤響應(yīng)。錯誤響應(yīng)模式的好處在于可以讓應(yīng)用程序檢測到入侵發(fā)生，并響應(yīng)合理的錯誤形式給用戶和入侵者。壞處在于可能入侵者也可以感知到有安全業(yè)務(wù)邏輯在發(fā)生作用，特別是如果應(yīng)用程序缺乏錯誤處理有可能會直接返回錯誤響應(yīng)給入侵者。 

模式二：靜默響應(yīng)模式

阻斷操作之后，返回正常的零響應(yīng)信息，包括0行數(shù)據(jù)，0行數(shù)據(jù)被影響或者成功操作的響應(yīng)信息。靜默響應(yīng)模式的好處在于完全正常的業(yè)務(wù)邏輯響應(yīng)可以使入侵者很難獲取相關(guān)信息，壞處在于應(yīng)用程序也無法感知入侵，只能依賴于安全設(shè)備的運(yùn)行。 

模式三：持續(xù)阻斷模式

當(dāng)檢測到應(yīng)該被阻斷的風(fēng)險操作之后，該Session被定義為高度風(fēng)險Session，所有后續(xù)的操作都被標(biāo)記為高風(fēng)險操作，無論其內(nèi)容如何都會被阻斷。持續(xù)阻斷模式的好處在于增加了入侵者的嘗試成本，增加其沮喪感，壞處在于可能由于風(fēng)險檢測引擎的誤判導(dǎo)致業(yè)務(wù)持續(xù)失敗。

Session阻斷相對于行為阻斷是一種很簡單的操作，中斷網(wǎng)絡(luò)連接，阻止進(jìn)一步的操作。Session阻斷的好處在于技術(shù)上實現(xiàn)非常簡單，壞處則會帶來眾多不可預(yù)知的影響。而且，其不可被用在數(shù)據(jù)庫防火墻中。  

絕大部分企業(yè)級應(yīng)用建立在數(shù)據(jù)庫連接池技術(shù)之上?；韭窂绞牵簶I(yè)務(wù)應(yīng)用程序發(fā)起數(shù)據(jù)庫操作請求，從數(shù)據(jù)庫連接池中獲得一個數(shù)據(jù)庫連接，應(yīng)用程序在這個給定的數(shù)據(jù)庫連接執(zhí)行業(yè)務(wù)操作，業(yè)務(wù)操作完成之后釋放這個數(shù)據(jù)庫連接到數(shù)據(jù)庫連接池。 

下面我們來分析Session阻斷的操作和影響。一般情況下，多數(shù)Session阻斷會采用向客戶端和服務(wù)端分別發(fā)Reset包的方式來實現(xiàn)阻斷，我們這里不探究reset信號的阻斷有效性，假設(shè)其總是可以快速阻斷。在此前提下我們從兩個方面來探討可能的影響： 

Session阻斷之后，會導(dǎo)致數(shù)據(jù)庫連接池的可用數(shù)量減少。特別是在多數(shù)情況下，數(shù)據(jù)庫連接池并不會檢測到Reset信號，也就是說雖然網(wǎng)絡(luò)連接已經(jīng)被中斷，但是數(shù)據(jù)庫連接池并沒有意識到連接已經(jīng)不可用，依然會把業(yè)務(wù)分配到這個已經(jīng)中斷的數(shù)據(jù)庫連接之上，導(dǎo)致業(yè)務(wù)大規(guī)模錯誤。

簡單來看，入侵者可以通過簡單的可以被數(shù)據(jù)庫防火墻識別的無效攻擊來實現(xiàn)cc攻擊，導(dǎo)致業(yè)務(wù)系統(tǒng)不可用。為了避免這種情況，需要在數(shù)據(jù)庫連接池上增加特定錯誤檢測功能，當(dāng)檢測到特定錯誤之后，關(guān)閉特定無效鏈接，并主動發(fā)起重新連接以保持業(yè)務(wù)程序運(yùn)行。 

在大部分情況下，數(shù)據(jù)庫并不能很好的處理reset信號，而需要依賴死進(jìn)程檢測程序來處理。由于處理無法保證有效，也就是說在相當(dāng)多的場景下可能會出現(xiàn)大量的僵死進(jìn)程，消耗大量數(shù)據(jù)庫會話資源，甚至存在共享的資源沒有釋放，從而導(dǎo)致數(shù)據(jù)庫掛起。