简单的http协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用http协议的服务器和客户端,以及运行在服务器上的web应用等资源才是攻击目标。
http就是一个通用的单纯协议几只。因此它具备较多优势,但是在安全性方面则呈劣势。开发者需要自行设计并开发认证及会化管理功能来满足web应用的安全。而自行设计就意味着会出现各种形形色色的实现。结果,安全等级并不完备,可仍在运作的web应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的bug。
ddos的攻击又叫分布式拒绝服务攻击,简单来说就是发送大量请求使服务器瘫痪。dos攻击时单个攻击并不具备杀伤力,而ddos attack是洪水式集体攻击,攻击者将大量的计算机联合起来,利用公共网络向一个或多个目标发动攻击。可能由于服务器的宽带不足,不足以抵御大流量的攻击,造成网络瘫痪,损失重大,之所以能攻击成功,是因为防御做得不够,因此,web应用ddos防御想有效的话,就要在服务器端的开发做好防御。