超低成本DDoS攻击来袭，看WAF如何绝地防护

一、DDoS攻击，不止于网络传输层

网络世界里为人们所熟知的DDoS攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，最终导致目标网络与业务的瘫痪；这类DDOS攻击，
工作在OSI模型的网络层与传输层，利用协议特点构造恶意的请求载荷来达成目标资源耗尽的
。

除了这类在网络传输层大做文章的DDoS攻击，还有一类DDoS攻击把目光聚焦到了应用层。随着互联网的飞速发展，接入流量逐年攀高，承载这些流量的网络应用也被黑产、黑客们盯上，在DDoS攻击场景中也不例外。

由于应用层流量更贴近业务逻辑，在 应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁
。除此之外，攻击者往往只需较小的带宽成本，实现更大的破坏效果，这样的不对称性自然更受攻击者们的关注与青睐。

Cloudflare在 [《DDoS Attack Trends for 2022
Q1》](https://blog.cloudflare.com/ddos-attack-trends-
for-2022-q1/)报告指出，全球范围内应用层DDoS攻击(主要是HTTP DDoS)呈现着持续增长的态势。 在俄乌的网络战争中，HTTP
DDoS攻击也扮演着重要的角色 。

与此同时，应用层DDoS攻击的攻击方式与手法在也在不断演进升级。
从集中式高频请求逐步演进为分布式低频请求，从请求报文中携带显著恶意特征变化为重放合法请求流量，伪造搜索引擎爬虫流量
等；而在攻击的频率与规模上，应用层DDoS攻击也呈现出不断增长的趋势。

针对攻击手法的升级变化，业务防护可以从两方面着手应对：一是在 运营对抗上
，在攻击发生的事前、事中和事后各阶段，通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果；
二是在防护能力建设上 ，可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层
DDoS攻击的识别处置能力。与此同时，在流量接入链路中与CDN、LB、AGW等各接入层产品进行联动合作，
通过在不同接入层级落地相关防护策略，实现攻击流量的分级收敛，在应对大规模应用层DDoS攻击时更能凸显防护效果 。

二、0门槛，高收益，一键发起攻击

上面提到的应用层DDoS攻击， 是通过向应用程序发送大量恶意请求实现攻击效果，以每秒请求数 (QPS) 来衡量攻击量级与规模 ；这类攻击也称为 7
层 DDoS 攻击，可针对和破坏特定的网络应用程序，而非整个网络。虽然这类 DDoS 攻击难以预防和抵御，但发动起来却相对比较容易，具体有多容易呢？

由于7层DDoS通常不需要过高的带宽成本，也无需构造复杂的协议利用报文，在黑灰产交易渠道，可以非常便捷地获取到发起7层DDoS的工具与服务。

即便是知名、成熟的互联网应用，在这类攻击面前也存在被攻陷的可能与风险。

三、HTTP DDoS攻击的类型与特点

3.1 攻击类型

7层DDoS攻击中，瘫痪目标应用与服务是首要目标，根据HTTP DDoS(CC)攻击发起的原理与方式，可以总结以下攻击类型：

• HTTP floods

这种攻击主要分为两种形式。第一种是HTTP GET request floods， 攻击者通过构造HTTP
GET请求报文，向目标服务器发送针对特定资源的大量请求
。在客户端执行一条HTTP请求的成本很低，但是目标服务器做出对应的响应成本却可能很高。比如加载一个网页，服务端通常需要加载多个文件、查询数据库等才能做出响应；例如在Web业务的防护中，对于有SSR(Server-
side rendering)功能页面的HTTP floods攻击，其量级与频率更加突出明显，也更容易对业务造成影响与危害。

第二种是HTTP POST request floods，与GET request floods的显著区别是，
POST请求往往需要携带表单参数或请求体信息，而这通常意味着服务端需要对请求内容进行相关解析处理，并将数据进行持久化(通常需要进行DB操作)
。发送POST请求一般仅需较小的计算与带宽成本，而服务端进行处理操作的过程往往消耗更高。可以说这种攻击形式下，形成这种请求响应间资源消耗差异的空间或可能性更大，更容易实现让服务器过载从而拒绝服务的目标。

• Large Payload POST requests