• 注册
  • 手游发布 手游发布 关注:4 内容:98

    超低成本DDoS攻击来袭,看WAF如何绝地防护

  • 查看作者
  • 打赏作者
    • 2
    • 手游发布
    • LV.1 初学乍练

      一、DDoS攻击,不止于网络传输层

      网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,最终导致目标网络与业务的瘫痪;这类DDOS攻击,工作在OSI模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的。

      除了这类在网络传输层大做文章的DDoS攻击,还有一类DDoS攻击把目光聚焦到了应用层。随着互联网的飞速发展,接入流量逐年攀高,承载这些流量的网络应用也被黑产、黑客们盯上,在DDoS攻击场景中也不例外。

      由于应用层流量更贴近业务逻辑,在应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁。除此之外,攻击者往往只需较小的带宽成本,实现更大的破坏效果,这样的不对称性自然更受攻击者们的关注与青睐。

      Cloudflare在 《DDoS Attack Trends for 2022 Q1》报告指出,全球范围内应用层DDoS攻击(主要是HTTP DDoS)呈现着持续增长的态势。在俄乌的网络战争中,HTTP DDoS攻击也扮演着重要的角色。

      与此同时,应用层DDoS攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求,从请求报文中携带显著恶意特征变化为重放合法请求流量,伪造搜索引擎爬虫流量等;而在攻击的频率与规模上,应用层DDoS攻击也呈现出不断增长的趋势。

      针对攻击手法的升级变化,业务防护可以从两方面着手应对:一是在运营对抗上,在攻击发生的事前、事中和事后各阶段,通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果;二是在防护能力建设上,可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS攻击的识别处置能力。与此同时,在流量接入链路中与CDN、LB、AGW等各接入层产品进行联动合作,通过在不同接入层级落地相关防护策略,实现攻击流量的分级收敛,在应对大规模应用层DDoS攻击时更能凸显防护效果。

      二、0门槛,高收益,一键发起攻击

      上面提到的应用层DDoS攻击,是通过向应用程序发送大量恶意请求实现攻击效果,以每秒请求数 (QPS) 来衡量攻击量级与规模;这类攻击也称为 7 层 DDoS 攻击,可针对和破坏特定的网络应用程序,而非整个网络。虽然这类 DDoS 攻击难以预防和抵御,但发动起来却相对比较容易,具体有多容易呢?

      由于7层DDoS通常不需要过高的带宽成本,也无需构造复杂的协议利用报文,在黑灰产交易渠道,可以非常便捷地获取到发起7层DDoS的工具与服务。

      即便是知名、成熟的互联网应用,在这类攻击面前也存在被攻陷的可能与风险。

      LV.10 功行圆满
      SVIP4 Plus
      AGM
      卧槽!无奈本人没文化,一句卧槽行天下!
      回复
      LV.10 功行圆满

      只能看看.

      回复

      请登录之后再进行评论

      登录
    • 任务
    • 动态
    • 到底部
    • 帖子间隔 侧栏位置: