DDoS 攻击 如何有效防护

网络世界里为人们所熟知的 DDoS 攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，终导致目标网络与业务的瘫痪；这类 DDOS 攻击，工作在 OSI 模型的网络层与传输层，利用协议特点构造恶意的请求载荷来达成目标资源耗尽的目的。
由于应用层流量更贴近业务逻辑，在应用层发起 DDoS 攻击可以同时对目标网络与目标服务器的稳定性造成威胁，应用层 DDoS 攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求，从请求报文中携带显著恶意特征变化为重放合法请求流量，伪造搜索引擎爬虫流量等；而在攻击的频率与规模上，应用层 DDoS 攻击也呈现出不断增长的趋势。
应用层 DDoS 攻击，是通过向应用程序发送大量恶意请求实现攻击效果，以每秒请求数 QPS来衡量攻击量级与规模；这类攻击也称为 7 层 DDoS 攻击，可针对和破坏特定的网络应用程序，而非整个网络。
攻击类型
HTTP floods
一： HTTP GET request floods，攻击者通过构造 HTTP GET 请求报文，向目标服务器发送针对特定资源的大量请求。
二： HTTP POST request floods，与 GET request floods 的显著区别是，POST 请求往往需要携带表单参数或请求体信息，而这通常意味着服务端需要对请求内容进行相关解析处理，并将数据进行持久化通常需要进行 DB 操作。
1：Large Payload POST requests
这类攻击一般通过 POST 方法发送容量大、结构复杂的请求体到目标服务器，使得目标服务器在解析这些请求内容的过程发生过载CPU 或内存；一般而言，攻击者通过构造特定的序列化请求体。
2：Asymmetric requests
这种类型的攻击利用的就是请求与响应的非对称性，请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。
3：Low&Slow attack
Slowloris/Slow Post/Read attack
这种类型的攻击更多是面向连接层面，以基于线程的 Web 服务器为目标，通过慢速请求来捆绑每个服务器线程，从而消耗服务器的线程&连接资源，这类攻击中主要可分为 Slowloris、Slow Post/Read 几种攻击方式。
攻击特点
根据上述总结的 HTTP DDoS 攻击类型、原理与实现方式，可以总结出 HTTP DDoS 攻击具备以下特点：
攻击门槛、成本低
相较于 4 层 DDoS 攻击，发起 HTTP DDoS 攻击往往无需构造复杂的攻击报文，仅需较少的带宽就能实现强大的攻击效果。
攻击目标更精细
攻击的目标可以精细到服务接口粒度，例如直播页面等，而不需要瘫痪目标的网络也能让业务出现拒绝服务。
破坏范围广，危害程度高
虽 HTTP DDoS 攻击的首要目标是瘫痪目标服务，但并不意味着对目标网络的可用性没有威胁。
攻击源分布广，隐匿性强
实际的 HTTP DDoS 攻击中，攻击者常常利用规模庞大的肉鸡/代理 IP，而 HTTP DDoS 攻击报文中往往不具备或具备难以察觉的恶意特征。对这些攻击源进行封禁处置效果有限甚至有误报风险，攻击者却可以随时更换新一批攻击源。
请求特征容易伪装，防护难度大
不同于 Web 注入攻击场景，HTTP DDoS 的攻击请求的报文特征常常处在一个难以判定好坏的区间，有时部分的异常特征不足以支撑执行拦截决策。攻击者可通过模拟、重放正常请求来发起攻击，即便在请求报文中某些特征被防护方捕获并针对性处置，攻击者也能感知到并作出调整。
一：链路梳理，明确业务场景
当业务面临 HTTP floods 攻击防护需求时，首先需要梳理清楚业务的流量接入链路。因为 HTTP floods 通常具有持续、量级规模大的特点
二：负载兜底，构建防护基线
在 HTTP floods 发生时，基本的防护需求是要保证业务的可用性，不能出现因攻击而造成业务瘫痪的情况；快速有效的策略便是为业务制定负载兜底策略。
三：特征分析，过滤恶意流量
采取上述策略手段实现初步防护后，需要对 HTTP floods 流量进一步分析过滤，才能在保障正常业务流量的同时将恶意流量拒之门外。这里就需要 WAF 提供基于 HTTP 请求、响应报文的多维组合、匹配能力，识别出报文中的异常特征并提供针对性的处置手段。
四：能力联动，提升防护效果
对于专业的 HTTP floods 攻击，攻击者会尽可能地模拟、重放正常的用户请求流量。因此从“HTTP 报文特征”去识别防护恶意流量，可能还远不足以应对高级复杂的 HTTP floods 攻击。
预防为主，防治结合，这是人类应对疾病威胁的重要方针，在网络安全世界中也同样适用。