超低成本DDoS攻击来袭，看WAF如何绝地防护

一、DDoS攻击，不止于网络传输层

网络世界里为人们所熟知的DDoS攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，最终导致目标网络与业务的瘫痪；这类DDOS攻击，工作在OSI模型的网络层与传输层，利用协议特点构造恶意的请求载荷来达成目标资源耗尽的。

除了这类在网络传输层大做文章的DDoS攻击，还有一类DDoS攻击把目光聚焦到了应用层。随着互联网的飞速发展，接入流量逐年攀高，承载这些流量的网络应用也被黑产、黑客们盯上，在DDoS攻击场景中也不例外。

由于应用层流量更贴近业务逻辑，在应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁。除此之外，攻击者往往只需较小的带宽成本，实现更大的破坏效果，这样的不对称性自然更受攻击者们的关注与青睐。

Cloudflare在 《DDoS Attack Trends for 2022 Q1》报告指出，全球范围内应用层DDoS攻击(主要是HTTP DDoS)呈现着持续增长的态势。在俄乌的网络战争中，HTTP DDoS攻击也扮演着重要的角色。

与此同时，应用层DDoS攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求，从请求报文中携带显著恶意特征变化为重放合法请求流量，伪造搜索引擎爬虫流量等；而在攻击的频率与规模上，应用层DDoS攻击也呈现出不断增长的趋势。

针对攻击手法的升级变化，业务防护可以从两方面着手应对：一是在运营对抗上，在攻击发生的事前、事中和事后各阶段，通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果；二是在防护能力建设上，可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS攻击的识别处置能力。与此同时，在流量接入链路中与CDN、LB、AGW等各接入层产品进行联动合作，通过在不同接入层级落地相关防护策略，实现攻击流量的分级收敛，在应对大规模应用层DDoS攻击时更能凸显防护效果。

二、0门槛，高收益，一键发起攻击

上面提到的应用层DDoS攻击，是通过向应用程序发送大量恶意请求实现攻击效果，以每秒请求数 (QPS) 来衡量攻击量级与规模；这类攻击也称为 7 层 DDoS 攻击，可针对和破坏特定的网络应用程序，而非整个网络。虽然这类 DDoS 攻击难以预防和抵御，但发动起来却相对比较容易，具体有多容易呢？

由于7层DDoS通常不需要过高的带宽成本，也无需构造复杂的协议利用报文，在黑灰产交易渠道，可以非常便捷地获取到发起7层DDoS的工具与服务。

即便是知名、成熟的互联网应用，在这类攻击面前也存在被攻陷的可能与风险。