DDoS 攻击 如何防护
DDoS 攻击,不止于网络传输层
网络世界里为人们所熟知的 DDoS 攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,终导致目标网络与业务的瘫痪;这类 DDOS 攻击,工作在 OSI 模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的目的。
在网络传输层大做文章的 DDoS 攻击,还有 DDoS 攻击把目光聚焦到了应用层。随着互联网的飞速发展,接入流量逐年攀高,承载这些流量的网络应用也被黑产、在 DDoS 攻击场景中也不例外。
与此同时,应用层 DDoS 攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求,从请求报文中携带显著恶意特征变化为重放合法请求流量,伪造搜索引擎爬虫流量等;而在攻击的频率与规模上,应用层 DDoS 攻击也呈现出不断增长的趋势。
针对攻击手法的升级变化,业务防护可以从两方面着手应对:一是在运营对抗上,在攻击发生的事前、事中和事后各阶段,通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果;二是在防护能力建设上,可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS 攻击的识别处置能力。
攻击类型
DDoS 攻击中,瘫痪目标应用与服务是首要目标,根据 HTTP DDoS
CC
攻击发起的原理与方式,可以总结以下攻击类型:
HTTP floods
这种攻击主要分为两种形式。种是 HTTP GET request floods,攻击者通过构造 HTTP GET 请求报文,向目标服务器发送针对特定资源的大量请求。在客户端执行一条 HTTP 请求的成本很低,但是目标服务器做出对应的响应成本却可能很高。
第二种是 HTTP POST request floods,POST 请求往往需要携带表单参数或请求体信息,而这通常意味着服务端需要对请求内容进行相关解析处理,并将数据进行持久化。发送 POST 请求一般仅需较小的计算与带宽成本,而服务端进行处理操作的过程往往消耗更高。
Large Payload POST requests
这类攻击一般通过 POST 方法发送容量大、结构复杂的请求体到目标服务器,使得目标服务器在解析这些请求内容的过程发生过载
CPU 或内存;一般而言,攻击者通过构造特定的序列化请求体。
Asymmetric requests
这种类型的攻击顾名思义,利用的就是请求与响应的非对称性,请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说,这类攻击需要对目标服务有一定的熟悉与了解,明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。
Low&Slow attack
Slowloris/Slow Post/Read attack
这种类型的攻击更多是面向连接层面,以基于线程的 Web 服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程&连接资源,这类攻击中主要可分为 Slowloris、Slow Post/Read 几种攻击方式。
攻击特点
攻击门槛、成本低
相较于 4 层 DDoS 攻击,发起 HTTP DDoS 攻击往往无需构造复杂的攻击报文,仅需较少的带宽就能实现强大的攻击效果。攻击目标更精细
攻击的目标可以精细到服务接口粒度,例如直播页面等,而不需要瘫痪目标的网络也能让业务出现拒绝服务。破坏范围广,危害程度高
虽然 HTTP DDoS 攻击的首要目标是瘫痪目标服务,但并不意味着对目标网络的可用性没有威胁。当 HTTP floods 量级到一定程度时,也存在瘫痪请求接入层网络的可能性。
攻击源分布广,隐匿性强
实际的 HTTP DDoS 攻击中,攻击者常常利用规模庞大的肉鸡/代理 IP,而 HTTP DDoS 攻击报文中往往不具备或具备难以察觉的恶意特征。
链路梳理,明确业务场景
当业务面临 HTTP floods 攻击防护需求时,首先需要梳理清楚业务的流量接入链路。因为 HTTP floods 通常具有持续、量级规模大的特点,因此较佳的防护部署是首先通过在较外接入层实现。
负载兜底,构建防护基线
在 HTTP floods 发生时,较基本的防护需求是要保证业务的可用性,不能出现因攻击而造成业务瘫痪的情况;在这个需求背景下,较快速有效的策略便是为业务制定负载兜底策略。
特征分析,过滤恶意流量
采取上述策略手段实现初步防护后,需要对 HTTP floods 流量进一步分析过滤,才能在保障正常业务流量的同时将恶意流量拒之门外。
能力联动,提升防护效果对于专业的 HTTP floods 攻击,攻击者会尽可能地模拟、重放正常的用户请求流量。
网络世界里为人们所熟知的 DDoS 攻击,多数是通过对带宽或网络计算资源的持续、大量消耗,终导致目标网络与业务的瘫痪;这类 DDOS 攻击,工作在 OSI 模型的网络层与传输层,利用协议特点构造恶意的请求载荷来达成目标资源耗尽的目的。
在网络传输层大做文章的 DDoS 攻击,还有 DDoS 攻击把目光聚焦到了应用层。随着互联网的飞速发展,接入流量逐年攀高,承载这些流量的网络应用也被黑产、在 DDoS 攻击场景中也不例外。
与此同时,应用层 DDoS 攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求,从请求报文中携带显著恶意特征变化为重放合法请求流量,伪造搜索引擎爬虫流量等;而在攻击的频率与规模上,应用层 DDoS 攻击也呈现出不断增长的趋势。
针对攻击手法的升级变化,业务防护可以从两方面着手应对:一是在运营对抗上,在攻击发生的事前、事中和事后各阶段,通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果;二是在防护能力建设上,可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS 攻击的识别处置能力。
攻击类型
DDoS 攻击中,瘫痪目标应用与服务是首要目标,根据 HTTP DDoS
CC
攻击发起的原理与方式,可以总结以下攻击类型:
HTTP floods
这种攻击主要分为两种形式。种是 HTTP GET request floods,攻击者通过构造 HTTP GET 请求报文,向目标服务器发送针对特定资源的大量请求。在客户端执行一条 HTTP 请求的成本很低,但是目标服务器做出对应的响应成本却可能很高。
第二种是 HTTP POST request floods,POST 请求往往需要携带表单参数或请求体信息,而这通常意味着服务端需要对请求内容进行相关解析处理,并将数据进行持久化。发送 POST 请求一般仅需较小的计算与带宽成本,而服务端进行处理操作的过程往往消耗更高。
Large Payload POST requests
这类攻击一般通过 POST 方法发送容量大、结构复杂的请求体到目标服务器,使得目标服务器在解析这些请求内容的过程发生过载
CPU 或内存;一般而言,攻击者通过构造特定的序列化请求体。
Asymmetric requests
这种类型的攻击顾名思义,利用的就是请求与响应的非对称性,请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说,这类攻击需要对目标服务有一定的熟悉与了解,明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。
Low&Slow attack
Slowloris/Slow Post/Read attack
这种类型的攻击更多是面向连接层面,以基于线程的 Web 服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程&连接资源,这类攻击中主要可分为 Slowloris、Slow Post/Read 几种攻击方式。
攻击特点
攻击门槛、成本低
相较于 4 层 DDoS 攻击,发起 HTTP DDoS 攻击往往无需构造复杂的攻击报文,仅需较少的带宽就能实现强大的攻击效果。攻击目标更精细
攻击的目标可以精细到服务接口粒度,例如直播页面等,而不需要瘫痪目标的网络也能让业务出现拒绝服务。破坏范围广,危害程度高
虽然 HTTP DDoS 攻击的首要目标是瘫痪目标服务,但并不意味着对目标网络的可用性没有威胁。当 HTTP floods 量级到一定程度时,也存在瘫痪请求接入层网络的可能性。
攻击源分布广,隐匿性强
实际的 HTTP DDoS 攻击中,攻击者常常利用规模庞大的肉鸡/代理 IP,而 HTTP DDoS 攻击报文中往往不具备或具备难以察觉的恶意特征。
链路梳理,明确业务场景
当业务面临 HTTP floods 攻击防护需求时,首先需要梳理清楚业务的流量接入链路。因为 HTTP floods 通常具有持续、量级规模大的特点,因此较佳的防护部署是首先通过在较外接入层实现。
负载兜底,构建防护基线
在 HTTP floods 发生时,较基本的防护需求是要保证业务的可用性,不能出现因攻击而造成业务瘫痪的情况;在这个需求背景下,较快速有效的策略便是为业务制定负载兜底策略。
特征分析,过滤恶意流量
采取上述策略手段实现初步防护后,需要对 HTTP floods 流量进一步分析过滤,才能在保障正常业务流量的同时将恶意流量拒之门外。
能力联动,提升防护效果对于专业的 HTTP floods 攻击,攻击者会尽可能地模拟、重放正常的用户请求流量。