什么是 ReDos 攻击

ReDos，即正则表达式拒绝服务攻击（Regular Expression Denial of Service） ，是一种特殊类型的拒绝服务攻击。它利用了正则表达式在处理某些特定输入时，会消耗大量的系统资源（如 CPU 时间和内存），从而导致程序响应极慢甚至崩溃，无法正常提供服务。
正则表达式是一种强大的文本匹配工具，被广泛应用于各种编程语言和软件中，用于搜索、替换、验证文本等操作。正常情况下，正则表达式能够高效地处理文本，但当遇到精心构造的恶意输入时，就可能出现问题。例如，当正则表达式包含嵌套的重复量词（如(a+)+），且输入字符串的结构与正则表达式的匹配模式存在复杂的交互时，就可能触发 “灾难性回溯”。
假设我们有一个正则表达式(a+)+b，它的目的是匹配由一个或多个a组成的字符串，然后紧跟一个b。当输入字符串为aaaaaaa时，正则表达式引擎在匹配过程中，会尝试各种可能的组合来匹配(a+)+，因为a+可以匹配 1 个或多个a，(a+)+就可以匹配由多个a+组成的字符串。对于aaaaaaa这个字符串，可能的匹配组合数量会随着a的数量增加而呈指数级增长。如果输入的a非常多，而最后又没有b（如aaaaaaaa），正则表达式引擎就会不断地回溯，尝试所有可能的匹配方式，这个过程会消耗大量的 CPU 时间，最终导致程序陷入无响应状态，这就是 ReDos 攻击的核心原理。

ReDos 攻击的危害

ReDos 攻击会给网站、应用程序和业务带来诸多严重危害：

• 网站瘫痪与业务中断：当遭受 ReDos 攻击时，服务器的 CPU 资源会被正则表达式的灾难性回溯大量消耗，导致服务器负载过高，响应速度极慢甚至完全无响应 。这使得网站或应用程序无法正常提供服务，用户在访问时会遇到长时间的等待或页面加载失败的情况，严重影响用户体验。对于在线业务，如电商网站、在线支付平台、社交媒体等，服务中断可能导致用户流失，业务无法正常开展，造成直接的经济损失。
• 数据泄露风险：在应对攻击的过程中，系统可能会出现异常状态，原本的安全防护机制可能会受到影响。这增加了黑客获取敏感数据的机会，如用户的个人信息、账号密码、交易记录等。一旦数据泄露，不仅会损害用户的利益，还会给企业带来严重的声誉损失，导致用户信任度下降。
• 经济损失：业务中断期间，企业可能会失去交易机会，特别是对于一些时效性强的业务，如限时抢购、在线拍卖等。恢复系统正常运行需要投入人力、物力和时间成本，包括安全专家的应急处理、服务器资源的调整、数据的恢复等。此外，企业还可能面临法律责任和赔偿，如因用户数据泄露而引发的法律诉讼，需要支付巨额的赔偿金。
• 损害品牌声誉：频繁遭受攻击或服务中断会让用户对企业的技术实力和安全保障能力产生质疑，降低用户对品牌的信任度。负面口碑可能会在用户群体中迅速传播，影响潜在用户的选择，进而对企业的长期发展造成不利影响。

由此可见，防范 ReDos 攻击对保障业务的稳定运行、保护用户数据安全和维护企业的良好形象至关重要。

常见的 ReDos 攻击场景

输入验证

许多应用程序在接收用户输入时，会使用正则表达式进行验证，确保输入的数据符合特定的格式要求 。例如，一个注册页面可能会使用正则表达式来验证用户输入的邮箱地址是否合法，或者一个搜索框可能会使用正则表达式来匹配用户输入的关键词。攻击者可以利用这些验证机制，构造特殊的输入字符串，使得正则表达式在匹配过程中陷入灾难性回溯。假设我们有一个验证邮箱地址的正则表达式^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+.[a-zA-Z0-9-.]+$，这个正则表达式看起来很正常，能够验证大多数合法的邮箱地址。但如果攻击者输入一个类似于 `a@a.a.a.a……

ReDos 攻击的防护手段

谨慎使用正则表达式

正则表达式虽然功能强大，但使用时需格外谨慎。复杂度过高的正则表达式，尤其是包含嵌套重复量词的表达式，如(a+)+，极易引发灾难性回溯，成为 ReDos 攻击的突破口。在许多实际案例中，开发人员为了实现复杂的文本匹配功能，过度依赖正则表达式，却忽视了其潜在风险。当攻击者构造出精心设计的恶意输入时，这些复杂的正则表达式就可能陷入长时间的计算，耗尽系统资源 。在一些搜索功能的实现中，若使用了复杂的正则表达式来匹配用户输入的关键词，攻击者就可以利用特殊构造的关键词，使正则表达式陷入无限回溯，导致服务器响应变慢甚至崩溃。因此，在满足业务需求的前提下，应尽量简化正则表达式的逻辑。如果可以通过其他更高效、更安全的字符串处理方法来实现功能，比如使用字符串的基本操作方法（如startswith、endswith、find、replace等），或者使用专门的文本处理库（如nltk用于自然语言处理，BeautifulSoup用于 HTML/XML 解析），则应优先选择这些方法，避免过度依赖正则表达式。

限制输入长度

限制用户输入的长度是一种简单有效的防护手段。许多应用程序在接收用户输入时，没有对输入长度进行合理限制，这就给攻击者提供了机会。攻击者可以通过输入超长的字符串，触发正则表达式的灾难性回溯，从而达到攻击目的。假设一个用户名输入框，正常情况下用户名长度不会超过 50 个字符，但如果没有对输入长度进行限制，攻击者就可能输入一个包含数万个字符的字符串，当这个字符串被用于正则表达式匹配时，就很容易引发 ReDos 攻击。为了防止这种情况发生，应用程序应在接收用户输入时，明确限制输入的最大长度。可以在前端通过 HTML 的maxlength属性来限制用户输入的长度，同时在后端也进行相应的长度校验。对于超过长度限制的输入，应及时拒绝并提示用户重新输入 。这样可以有效阻止攻击者利用超长输入进行 ReDos 攻击，减轻服务器的处理负担，提高系统的安全性和稳定性。

对输入进行严格校验

对输入数据进行严格校验是防范 ReDos 攻击的关键环节。应用程序应只允许合法的字符和格式进入系统，拒绝任何特殊构造的输入。在使用正则表达式进行输入验证时，要确保正则表达式本身的安全性，避免出现容易引发灾难性回溯的模式。在验证邮箱地址时，可以使用简单而安全的正则表达式模式，只匹配符合常见邮箱格式的字符串，而不是使用过于复杂的模式。同时，还可以结合其他校验方法，如白名单校验、黑名单校验等。白名单校验只允许特定的字符或字符集通过，例如只允许字母、数字和特定的符号（如@、-、_等）用于邮箱地址的输入；黑名单校验则禁止某些危险字符或模式的输入，如可能导致正则表达式异常的特殊字符组合。通过多种校验方法的结合，可以更全面地确保输入数据的合法性，有效抵御 ReDos 攻击。

使用安全的正则表达式库

选择经过安全加固的正则表达式库也是一种有效的防护措施。一些成熟的正则表达式库，如 Python 的re模块、Java 的java.util.regex包等，在设计和实现上对潜在的风险进行了考虑和防护 。这些库会对正则表达式的语法进行严格检查，避免出现导致灾难性回溯的错误用法。一些安全的正则表达式库还提供了额外的安全特性，如超时机制。当正则表达式的匹配时间超过设定的阈值时，库会自动终止匹配过程，避免系统资源被无限消耗。在使用这些库时，应确保使用的是最新版本，因为新版本通常会修复已知的安全漏洞和性能问题。一些正则表达式库的开发者会不断优化库的性能和安全性，通过更新库的版本，可以及时获得这些改进，提高应用程序对 ReDos 攻击的防御能力。

定期更新和维护

定期更新软件和正则表达式库是保持系统安全性的重要措施。软件开发者会不断发现并修复软件中存在的漏洞，包括正则表达式相关的漏洞。如果应用程序长期不更新，就可能存在已知的安全隐患，容易受到 ReDos 攻击。操作系统、Web 服务器软件、数据库管理系统等都可能包含正则表达式的应用，定期更新这些软件可以确保系统的安全性。同样，正则表达式库也需要定期更新。随着技术的发展和安全研究的深入，可能会发现正则表达式库中存在的新的安全问题，开发者会通过更新库的版本来修复这些问题。定期更新正则表达式库可以保证应用程序使用的是安全的、经过优化的版本，降低遭受 ReDos 攻击的风险。同时，在更新软件和库之后，应进行充分的测试，确保更新不会引入新的问题，影响应用程序的正常运行。

防护案例分析

案例一：某知名网站遭受 ReDos 攻击及防护措施

某知名社交网站在用户注册和登录模块使用了正则表达式来验证用户输入的账号和密码 。攻击者通过分析该网站的验证机制，构造了特殊的输入字符串，触发了正则表达式的灾难性回溯。大量的恶意请求使得服务器的 CPU 资源被迅速耗尽，导致网站的注册和登录功能无法正常使用，许多用户在尝试注册或登录时遇到了长时间的等待和错误提示，严重影响了用户体验。
在发现攻击后，该网站的安全团队迅速采取了一系列防护措施。首先，他们对所有涉及用户输入的正则表达式进行了全面审查和优化，简化了复杂的正则表达式逻辑，避免了可能导致灾难性回溯的模式。在验证邮箱地址的正则表达式中，去除了不必要的嵌套和重复量词，使其更加简洁高效。其次，安全团队在前端和后端都增加了输入长度限制，将用户名和密码的最大长度分别限制为 50 个字符和 80 个字符 ，有效阻止了攻击者利用超长输入进行攻击。此外，他们还引入了更严格的输入校验规则，不仅验证输入的格式，还对输入内容进行白名单校验，只允许合法的字符和字符组合通过，进一步增强了系统的安全性。通过这些措施，该网站成功抵御了后续的 ReDos 攻击，恢复了正常的服务。

案例二：企业内部系统如何成功防范 ReDos 攻击

某大型企业的内部办公系统使用了大量的正则表达式来处理用户输入和数据查询功能 。为了防范 ReDos 攻击，企业的开发团队采取了一系列积极的防范措施。他们选用了经过安全加固的正则表达式库，并确保库的版本是最新的，以获取最新的安全修复和性能优化。在进行数据查询时，开发团队对用户输入的查询条件进行了严格的验证和过滤 。他们使用了白名单校验和黑名单校验相结合的方式，只允许特定的字符和查询语法进入系统，禁止任何可能导致正则表达式异常的特殊字符和模式。如果用户输入的查询条件中包含危险字符或不符合查询语法的内容，系统会立即拒绝并提示用户重新输入。
企业还建立了完善的监控和报警机制，实时监测系统的 CPU 使用率、内存使用情况以及正则表达式的执行时间 。一旦发现异常，如 CPU 使用率突然飙升、正则表达式执行时间过长等，系统会立即发出警报，通知安全团队进行处理。同时，开发团队定期对系统进行安全审计和漏洞扫描，及时发现并修复潜在的安全隐患。通过这些综合防范措施，该企业的内部办公系统在面对潜在的 ReDos 攻击时，始终保持稳定运行，有效保障了企业的日常办公需求。

总结

ReDos 攻击利用正则表达式的特性，通过精心构造的输入使系统资源耗尽，导致服务中断，给网站和应用程序带来严重危害，包括业务中断、数据泄露风险、经济损失和品牌声誉损害等。
为了防范 ReDos 攻击，我们可以采取多种措施，如谨慎使用正则表达式，避免复杂度过高的表达式；限制输入长度，防止攻击者利用超长输入触发攻击；对输入进行严格校验，确保只允许合法的字符和格式进入系统；使用安全的正则表达式库，借助其安全特性抵御攻击；定期更新和维护软件及正则表达式库，及时修复漏洞 。通过这些措施的综合应用，可以有效降低遭受 ReDos 攻击的风险，保障网络服务的稳定运行和数据安全。
网络安全是一个持续的挑战，随着技术的发展，攻击者的手段也在不断更新。我们必须时刻保持警惕，不断学习和更新知识，积极采取有效的防护措施，共同维护网络环境的安全与稳定。无论是个人开发者还是企业组织，都应当重视网络安全，将其融入到软件开发和系统运维的每一个环节中，为用户提供安全可靠的服务。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御