低成本DDoS攻击来袭

网络安全在应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁。除此之外，攻击者往往只需较小的带宽成本，实现更大的破坏效果。
DDoS攻击，不只在网络层和传输层
网络世界里为人们所熟知的DDoS攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，终导致目标网络与业务的瘫痪；这类DDOS攻击，工作在OSI模型的网络层与传输层，利用协议特点构造恶意的请求载荷来达成目标资源耗尽的。
除了这类在网络传输层大做文章的DDoS攻击，还有一类DDoS攻击把目光聚焦到了应用层。随着互联网的飞速发展，接入流量逐年攀高，承载这些流量的网络应用也被黑产、们盯上，在DDoS攻击场景中也不例外。
在应用层发起DDoS攻击可以同时对目标网络与目标服务器的稳定性造成威胁。除此之外，攻击者往往只需较小的带宽成本，实现更大的破坏效果。
针对攻击手法的升级变化，业务防护可以从两方面着手应对：
一：是在运营对抗上，在攻击发生的事前、事中和事后各阶段，通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果；
二：是在防护能力建设上，可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS攻击的识别处置能力。
0门槛，高收益，一键发起攻击
上面提到的应用层DDoS攻击，是通过向应用程序发送大量恶意请求实现攻击效果，以每秒请求数
QPS
来衡量攻击量级与规模；这类攻击也称为 7 层 DDoS 攻击，可针对和破坏特定的网络应用程序，而非整个网络。
这类 DDoS 攻击难以预防和抵御，但发动起来却相对比较容易
由于7层DDoS通常不需要过高的带宽成本，也无需构造复杂的协议利用报文，在黑灰产交易渠道，可以非常便捷地获取到发起7层DDoS的工具与服务。
HTTP DDoS攻击
HTTP floods类：攻击者通过构造HTTP GET请求报文，向目标服务器发送针对特定资源的大量请求。在客户端执行一条HTTP请求的成本很低，但是目标服务器做出对应的响应成本却可能很高。比如加载一个网页，服务端通常需要加载多个文件、查询数据库等才能做出响应
HTTP POST request floods类：POST请求往往需要携带表单参数或请求体信息，而这通常意味着服务端需要对请求内容进行相关解析处理，并将数据进行持久化
通常需要进行DB操作
。发送POST请求一般仅需较小的计算与带宽成本，而服务端进行处理操作的过程往往消耗更高。可以说这种攻击形式下，形成这种请求响应间资源消耗差异的空间或可能性更大，更容易实现让服务器过载从而拒绝服务的目标。
Large Payload POST requests：一般通过POST方法发送容量大、结构复杂的请求体到目标服务器，使得目标服务器在解析这些请求内容的过程发生过载
CPU或内存
；一般而言，攻击者通过构造特定的序列化请求体；
Asymmetric requests：利用的就是请求与响应的非对称性，请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说，这类攻击需要对目标服务有一定的熟悉与了解，明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。
Low&Slow attack：这种类型的攻击更多是面向连接层面，以基于线程的Web服务器为目标，通过慢速请求来捆绑每个服务器线程，从而消耗服务器的线程&连接资源，这类攻击中主要可分为Slowloris、Slow Post/Read 几种攻击方式。
相较于4层DDoS攻击，发起HTTP DDoS攻击往往无需构造复杂的攻击报文，仅需较少的带宽就能实现强大的攻击效果。
攻击的目标可以精细到服务接口粒度，例如直播页面等，而不需要瘫痪目标的网络也能让业务出现拒绝服务。
虽然HTTP DDoS攻击的首要目标是瘫痪目标服务，但并不意味着对目标网络的可用性没有威胁。当HTTP floods量级到一定程度时，也存在瘫痪请求接入层网络的可能性。
实际的HTTP DDoS攻击中，攻击者常常利用规模庞大的肉鸡/代理IP，而HTTP DDoS攻击报文中往往不具备或具备难以察觉的恶意特征。对这些攻击源进行封禁处置效果有限甚至有误报风险，攻击者却可以随时更换新一批攻击源。
不同于Web注入攻击场景，HTTP DDoS的攻击请求的报文特征常常处在一个难以判定好坏的区间，有时部分的异常特征不足以支撑执行拦截决策。攻击者可通过模拟、重放正常请求来发起攻击，即便在请求报文中某些特征被防护方捕获并针对性处置，攻击者也能感知到并作出调整。
今天就分享到这，希望朋友们喜欢！