一、DDoS攻击,不止于网络传输层
网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,最终导致目标网络与业务的瘫痪;这类DDOS攻击,
工作在OSI模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的
。
除了这类在网络传输层大做文章的DDoS攻击,还有一类DDoS攻击把目光聚焦到了应用层。随着互联网的飞速发展,接入流量逐年攀高,承载这些流量的网络应用也被黑产、黑客们盯上,在DDoS攻击场景中也不例外。
由于应用层流量更贴近业务逻辑,在 应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁
。除此之外,攻击者往往只需较小的带宽成本,实现更大的破坏效果,这样的不对称性自然更受攻击者们的关注与青睐。
Cloudflare在 [《DDoS Attack Trends for 2022
Q1》](https://blog.cloudflare.com/ddos-attack-trends-
for-2022-q1/)报告指出,全球范围内应用层DDoS攻击(主要是HTTP DDoS)呈现着持续增长的态势。 在俄乌的网络战争中,HTTP
DDoS攻击也扮演着重要的角色 。
与此同时,应用层DDoS攻击的攻击方式与手法在也在不断演进升级。
从集中式高频请求逐步演进为分布式低频请求,从请求报文中携带显著恶意特征变化为重放合法请求流量,伪造搜索引擎爬虫流量
等;而在攻击的频率与规模上,应用层DDoS攻击也呈现出不断增长的趋势。
针对攻击手法的升级变化,业务防护可以从两方面着手应对:一是在 运营对抗上
,在攻击发生的事前、事中和事后各阶段,通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果;
二是在防护能力建设上 ,可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层
DDoS攻击的识别处置能力。与此同时,在流量接入链路中与CDN、LB、AGW等各接入层产品进行联动合作,
通过在不同接入层级落地相关防护策略,实现攻击流量的分级收敛,在应对大规模应用层DDoS攻击时更能凸显防护效果 。
二、0门槛,高收益,一键发起攻击
上面提到的应用层DDoS攻击, 是通过向应用程序发送大量恶意请求实现攻击效果,以每秒请求数 (QPS) 来衡量攻击量级与规模 ;这类攻击也称为 7
层 DDoS 攻击,可针对和破坏特定的网络应用程序,而非整个网络。虽然这类 DDoS 攻击难以预防和抵御,但发动起来却相对比较容易,具体有多容易呢?
由于7层DDoS通常不需要过高的带宽成本,也无需构造复杂的协议利用报文,在黑灰产交易渠道,可以非常便捷地获取到发起7层DDoS的工具与服务。
即便是知名、成熟的互联网应用,在这类攻击面前也存在被攻陷的可能与风险。
三、HTTP DDoS攻击的类型与特点
3.1 攻击类型
7层DDoS攻击中,瘫痪目标应用与服务是首要目标,根据HTTP DDoS(CC)攻击发起的原理与方式,可以总结以下攻击类型:
- HTTP floods
这种攻击主要分为两种形式。第一种是HTTP GET request floods, 攻击者通过构造HTTP
GET请求报文,向目标服务器发送针对特定资源的大量请求
。在客户端执行一条HTTP请求的成本很低,但是目标服务器做出对应的响应成本却可能很高。比如加载一个网页,服务端通常需要加载多个文件、查询数据库等才能做出响应;例如在Web业务的防护中,对于有SSR(Server-
side rendering)功能页面的HTTP floods攻击,其量级与频率更加突出明显,也更容易对业务造成影响与危害。
第二种是HTTP POST request floods,与GET request floods的显著区别是,
POST请求往往需要携带表单参数或请求体信息,而这通常意味着服务端需要对请求内容进行相关解析处理,并将数据进行持久化(通常需要进行DB操作)
。发送POST请求一般仅需较小的计算与带宽成本,而服务端进行处理操作的过程往往消耗更高。可以说这种攻击形式下,形成这种请求响应间资源消耗差异的空间或可能性更大,更容易实现让服务器过载从而拒绝服务的目标。
- Large Payload POST requests