DDoS 攻击 如何防护

DDoS 攻击，不止于网络传输层

网络世界里为人们所熟知的 DDoS 攻击，多数是通过对带宽或网络计算资源的持续、大量消耗，终导致目标网络与业务的瘫痪；这类 DDOS 攻击，工作在 OSI 模型的网络层与传输层，利用协议特点构造恶意的请求载荷来达成目标资源耗尽的目的。
在网络传输层大做文章的 DDoS 攻击，还有 DDoS 攻击把目光聚焦到了应用层。随着互联网的飞速发展，接入流量逐年攀高，承载这些流量的网络应用也被黑产、在 DDoS 攻击场景中也不例外。

与此同时，应用层 DDoS 攻击的攻击方式与手法在也在不断演进升级。从集中式高频请求逐步演进为分布式低频请求，从请求报文中携带显著恶意特征变化为重放合法请求流量，伪造搜索引擎爬虫流量等；而在攻击的频率与规模上，应用层 DDoS 攻击也呈现出不断增长的趋势。

针对攻击手法的升级变化，业务防护可以从两方面着手应对：一是在运营对抗上，在攻击发生的事前、事中和事后各阶段，通过梳理资产信息、分析攻击报文并进行特征提取、配置防护策略、复盘防护数据等手段不断提升防护对抗效果；二是在防护能力建设上，可以引入支持多维度特征组合的限速功能、JS Challenge、验证码等功能模块来提升对高级复杂的应用层 DDoS 攻击的识别处置能力。

攻击类型

DDoS 攻击中，瘫痪目标应用与服务是首要目标，根据 HTTP DDoS

CC

攻击发起的原理与方式，可以总结以下攻击类型：

HTTP floods

这种攻击主要分为两种形式。种是 HTTP GET request floods，攻击者通过构造 HTTP GET 请求报文，向目标服务器发送针对特定资源的大量请求。在客户端执行一条 HTTP 请求的成本很低，但是目标服务器做出对应的响应成本却可能很高。

第二种是 HTTP POST request floods，POST 请求往往需要携带表单参数或请求体信息，而这通常意味着服务端需要对请求内容进行相关解析处理，并将数据进行持久化。发送 POST 请求一般仅需较小的计算与带宽成本，而服务端进行处理操作的过程往往消耗更高。

Large Payload POST requests

这类攻击一般通过 POST 方法发送容量大、结构复杂的请求体到目标服务器，使得目标服务器在解析这些请求内容的过程发生过载

CPU 或内存；一般而言，攻击者通过构造特定的序列化请求体。

Asymmetric requests

这种类型的攻击顾名思义，利用的就是请求与响应的非对称性，请求的目标路径会执行高消耗操作而发起攻击请求轻而易举。通常来说，这类攻击需要对目标服务有一定的熟悉与了解，明确攻击目标哪些地方存在这种非对称性利用的可能及利用方式。

Low&Slow attack

Slowloris/Slow Post/Read attack

这种类型的攻击更多是面向连接层面，以基于线程的 Web 服务器为目标，通过慢速请求来捆绑每个服务器线程，从而消耗服务器的线程&连接资源，这类攻击中主要可分为 Slowloris、Slow Post/Read 几种攻击方式。

攻击特点

攻击门槛、成本低

相较于 4 层 DDoS 攻击，发起 HTTP DDoS 攻击往往无需构造复杂的攻击报文，仅需较少的带宽就能实现强大的攻击效果。攻击目标更精细

攻击的目标可以精细到服务接口粒度，例如直播页面等，而不需要瘫痪目标的网络也能让业务出现拒绝服务。破坏范围广，危害程度高

虽然 HTTP DDoS 攻击的首要目标是瘫痪目标服务，但并不意味着对目标网络的可用性没有威胁。当 HTTP floods 量级到一定程度时，也存在瘫痪请求接入层网络的可能性。

攻击源分布广，隐匿性强

实际的 HTTP DDoS 攻击中，攻击者常常利用规模庞大的肉鸡/代理 IP，而 HTTP DDoS 攻击报文中往往不具备或具备难以察觉的恶意特征。

链路梳理，明确业务场景

当业务面临 HTTP floods 攻击防护需求时，首先需要梳理清楚业务的流量接入链路。因为 HTTP floods 通常具有持续、量级规模大的特点，因此较佳的防护部署是首先通过在较外接入层实现。

负载兜底，构建防护基线

在 HTTP floods 发生时，较基本的防护需求是要保证业务的可用性，不能出现因攻击而造成业务瘫痪的情况；在这个需求背景下，较快速有效的策略便是为业务制定负载兜底策略。

特征分析，过滤恶意流量

采取上述策略手段实现初步防护后，需要对 HTTP floods 流量进一步分析过滤，才能在保障正常业务流量的同时将恶意流量拒之门外。

能力联动，提升防护效果对于专业的 HTTP floods 攻击，攻击者会尽可能地模拟、重放正常的用户请求流量。