我們都知道近年來網(wǎng)絡(luò)攻擊的數(shù)量和頻率急劇上升，針對(duì)Web應(yīng)用程序的DDoS海嘯攻擊就是其中增長(zhǎng)非常迅速的一個(gè)種類。過去常見的HTTP/S洪水攻擊正在大范圍的轉(zhuǎn)變?yōu)楦y對(duì)付的Web DDoS海嘯攻擊，每個(gè)人都應(yīng)該提前做好被攻擊的準(zhǔn)備并采取適當(dāng)?shù)谋Ｗo(hù)措施。

哪些可以歸類為 Web DDoS 海嘯攻擊？

要了解Web DDoS海嘯攻擊（以及一般的 HTTP洪水攻擊），首先有必要了解這些攻擊的所涉及的4個(gè)維度：攻擊量、持續(xù)時(shí)間、使用的僵尸網(wǎng)絡(luò)的特征以及攻擊達(dá)成方式。

一、攻擊量

在過去的幾個(gè)月中，各種第三方組織都觀察到了若干次攻擊量達(dá)到數(shù)百萬次RPS（每秒請(qǐng)求）的HTTPS Flood 攻擊。其中一些大規(guī)模的攻擊甚至達(dá)到了數(shù)千萬RPS。這些巨型RPS攻擊級(jí)別代表了極端的 HTTPS 洪水，而且大容量的RPS攻擊數(shù)量還在不斷增長(zhǎng)。我們有理由相信，地球上幾乎所有 Web 應(yīng)用程序、Web 服務(wù)或任何其他在線資產(chǎn)都可能成為這波大規(guī)模 Web DDoS 海嘯攻擊的目標(biāo)！Web DDoS 海嘯防護(hù)的需求確實(shí)是我們行業(yè)的“必備”需求。

Web DDoS 海嘯的興起不僅極大地影響了在線資產(chǎn)所有者，還極大地影響了WAF和DDoS 防護(hù)解決方案供應(yīng)商，我們有責(zé)任保護(hù)客戶的在線資產(chǎn)和自己的基礎(chǔ)設(shè)施免受這些復(fù)雜的高RPS DDoS 攻擊。構(gòu)建網(wǎng)絡(luò)海嘯攻擊檢測(cè)和緩解服務(wù)需要特別關(guān)注、專業(yè)知識(shí)和對(duì)適當(dāng)基礎(chǔ)設(shè)施的大量投資。目標(biāo)是在實(shí)現(xiàn)實(shí)際的客戶保護(hù)之前，消除保護(hù)基礎(chǔ)設(shè)施因攻擊的大量流量而不堪重負(fù)和飽和的情況。只有高容量的 L7 實(shí)體（網(wǎng)絡(luò)代理等）以及高度架構(gòu)和堅(jiān)固耐用的保護(hù)基礎(chǔ)設(shè)施，才能成功應(yīng)對(duì)如此大量的攻擊量。 只有在DDoS和L7 AppSec保護(hù)方面技術(shù)精湛且經(jīng)驗(yàn)豐富的供應(yīng)商（比如火傘云）才能滿足Web DDoS 海嘯新時(shí)代所產(chǎn)生的L7基礎(chǔ)設(shè)施和攻擊緩解要求。

二、攻擊持續(xù)時(shí)間

Web DDoS 海嘯攻擊可能持續(xù)幾秒到幾小時(shí)或者幾天不等。雖然一些臭名昭著的超高RPS（數(shù)百萬）攻擊通常持續(xù)不到一分鐘，但最近的其他Web DDoS海嘯攻擊也有不少持續(xù)了幾分鐘或幾個(gè)小時(shí)，火傘云的客戶也有數(shù)起經(jīng)歷過持續(xù)數(shù)小時(shí)的海嘯襲擊。

除了持續(xù)時(shí)間之外，海嘯攻擊的強(qiáng)度也急劇上升，在多數(shù)情況下，攻擊會(huì)在不到10秒的時(shí)間內(nèi)瞬間爆發(fā)到“全力”，然后就停留在那里。人們可以想象一個(gè)未受保護(hù)的網(wǎng)站在高流量期間突然在不到10秒的時(shí)間內(nèi)躍升至50-100萬RPS的結(jié)果：該網(wǎng)站將關(guān)閉并且對(duì)合法用戶沒有反應(yīng)，客戶不得不轉(zhuǎn)向另一個(gè)提供商來獲取他們所需的服務(wù)。

抵御海嘯襲擊不是一件容易的任務(wù)，它需要高度的DDoS和AppSec保護(hù)專業(yè)知識(shí)。每個(gè)Web DDoS 海嘯防護(hù)基礎(chǔ)設(shè)施都必須能夠應(yīng)對(duì)和吸收傳入負(fù)載的急劇增加，準(zhǔn)備好在不同的時(shí)間段內(nèi)保持此容量，并以高效且經(jīng)濟(jì)高效的方式完成這一切，而且這都需要在保證客戶在線資產(chǎn)安全啟動(dòng)和運(yùn)行的同時(shí)完成。

三、所使用的僵尸網(wǎng)絡(luò)的特征

以下是火傘云總結(jié)的主要與攻擊檢測(cè)和緩解相關(guān)的維度：

首先，我們應(yīng)該考慮僵尸網(wǎng)絡(luò)的規(guī)模。 最主要指標(biāo)是發(fā)起攻擊的IP數(shù)量，使用的攻擊者IP數(shù)量通常可以從數(shù)千到數(shù)十萬不等。IP 可以分布在全球各地，也可以分配給眾多自治系統(tǒng)編號(hào) (ASN)，這些編號(hào)通常由服務(wù)提供商擁有，用于標(biāo)識(shí)互聯(lián)網(wǎng)上存在的網(wǎng)絡(luò)。 因此，在 Web DDoS 海嘯期間，每個(gè)攻擊者的 IP 都可以生成相似的、更高或更低的RPS水平，合法客戶端的平均RPS水平也是如此。因此，將流量最大的IP（即在某個(gè)時(shí)間范圍內(nèi)收到的RPS最高的客戶端IP）視為攻擊者作為緩解技術(shù)（包括提供其他傳統(tǒng)緩解方法，例如具有高RPS級(jí)別的速率限制源 IP）可能會(huì)產(chǎn)生不必要的誤報(bào)。在火傘云看到的一些現(xiàn)實(shí)案例中，攻擊者從大規(guī)模僵尸網(wǎng)絡(luò)中生成Web DDoS海嘯攻擊，且每個(gè)單獨(dú)的機(jī)器人都只會(huì)生成非常低的 RPS 量，以逃避用于緩解此類攻擊的簡(jiǎn)單方法。

Web DDoS海嘯也可能源自各種類型的源可能分配或擁有的源IP 。最常見的攻擊可能是攻擊者的IP屬于公共代理的攻擊，例如開放代理、匿名代理或開放VPN。攻擊者通常使用這種方式來混淆他們的真實(shí)身份。 此外，__攻擊者的 IP 可能屬于合法用戶（即屬于無辜、不知情的用戶的家庭路由器）、云提供商IP、網(wǎng)絡(luò)托管提供商IP 和受感染的物聯(lián)網(wǎng)設(shè)備。__攻擊者主要使用這些不同類型的IP來混淆自己，以免被識(shí)別和簡(jiǎn)單地阻止。因此，如果僅使用威脅情報(bào)信息根據(jù)IP地址從屬關(guān)系來緩解攻擊，則不會(huì)檢測(cè)到并緩解攻擊。 當(dāng)攻擊來自合法的住宅 IP（大多數(shù)在線服務(wù)的合法客戶端）時(shí)，威脅情報(bào)源資源庫(kù)就無濟(jì)于事了。僅基于 IP 地址情報(bào)構(gòu)建緩解策略可能會(huì)產(chǎn)生不必要的漏報(bào)。

而且為了構(gòu)建海嘯級(jí)的 HTTP 攻擊， 不同的黑客團(tuán)體有時(shí)會(huì)合作并同時(shí)攻擊單個(gè)受害者 。因此，一次攻擊中可能會(huì)出現(xiàn)多種類型的攻擊IP地址和大量RPS，這使得處理起來變得復(fù)雜且具有挑戰(zhàn)性。

四、攻擊達(dá)成方式

最開始，Web DDoS 海嘯攻擊是由一個(gè)簡(jiǎn)單的HTTP請(qǐng)求組成的，該攻擊是由大量傳輸或復(fù)制的單個(gè)事務(wù)構(gòu)建。例如，它可以是對(duì)“/”的簡(jiǎn)單HTTP GET以及一組非常基本的HTTP 標(biāo)頭，例如Host和 Accept。 一方面，這些交易看起來合法，因此傳統(tǒng)WAAF或其他現(xiàn)有手段不太可能緩解攻擊。另一方面，緩解實(shí)體可能能夠簡(jiǎn)單地阻止或過濾此特定的單個(gè)事務(wù)，然后再將其傳遞到受保護(hù)組織的在線資產(chǎn)。 在這種情況下，攻擊將會(huì)減輕。然而，如今 Web DDoS海嘯變得更加復(fù)雜，攻擊者通過構(gòu)建更復(fù)雜和真實(shí)的交易來避免這種簡(jiǎn)單的檢測(cè)和緩解。此外，他們嚴(yán)重依賴隨機(jī)化。網(wǎng)絡(luò)海嘯攻擊中出現(xiàn)了各種各樣的攻擊交易結(jié)構(gòu)。攻擊者制作更真實(shí)、更合法的交易，其中包含一組“看起來合法”的查詢參數(shù)、更多HTTP標(biāo)頭、用戶代理和引用標(biāo)頭、Web Cookie 等。攻擊請(qǐng)求具有各種HTTP方法（POST、PUT、HEAD等），并定向到受保護(hù)應(yīng)用程序內(nèi)的多個(gè)路徑。攻擊者生成的交易的許多屬性是連續(xù)隨機(jī)的，有時(shí)是基于單個(gè)交易的。使用這種高水平的隨機(jī)化使得簡(jiǎn)單的緩解措施變得不切實(shí)際。海嘯 DDoS攻擊表現(xiàn)為合法的流量請(qǐng)求，并且不斷隨機(jī)化。因此，當(dāng)旨在完美緩解時(shí)，沒有簡(jiǎn)單的、預(yù)定義的簽名或基于規(guī)則的機(jī)制來提供攻擊緩解，因?yàn)檎?qǐng)求看起來合法并且不表明惡意意圖。

使這些攻擊如此難以緩解的另一個(gè)原因是，即便加密的流量被解密，它看起來仍然是合法的。Web DDoS 海嘯攻擊者利用大量復(fù)雜的規(guī)避技術(shù)來繞過傳統(tǒng)的應(yīng)用程序保護(hù)。為了增加這些攻擊的復(fù)雜性，攻擊者在攻擊期間改變其攻擊模式或同時(shí)使用多個(gè)攻擊請(qǐng)求結(jié)構(gòu)。當(dāng)攻擊由多個(gè)精心策劃的僵尸網(wǎng)絡(luò)發(fā)起且攻擊者的多種策略同時(shí)出現(xiàn)時(shí)，情況會(huì)變得更加復(fù)雜。由于所有這些攻擊者策略，Web DDoS 海嘯攻擊可能包含數(shù)百萬個(gè)不同的交易，且所有這些交易看起來都是合法的。如果不將這些攻擊視為一種零日攻擊，并專門使用一組預(yù)定義的過濾器來緩解攻擊，則可能會(huì)導(dǎo)致緩解過程中出現(xiàn)大量不必要的漏報(bào)。想象一下假如有一次高達(dá)300萬次RPS攻擊，其中誤報(bào)率為1%；也一樣會(huì)帶來許多在線資產(chǎn)無法承受流量而泄漏的影響。

抵御Web DDoS海嘯攻擊的合適選項(xiàng)

了解Web DDoS 海嘯攻擊的不同維度很重要，但更重要的是了解如何保護(hù)您的組織免受此類攻擊。為了防范這些攻擊，組織需要一種能夠快速實(shí)時(shí)適應(yīng)攻擊活動(dòng)的解決方案。常規(guī)的本地化或基于云的DDoS和 WAAF解決方案無法做到這一點(diǎn)：因?yàn)檫@些威脅是動(dòng)態(tài)的，以至于它們的頻率無法預(yù)測(cè)，攻擊向量是隨機(jī)的，源IP和其他參數(shù)會(huì)發(fā)生變化，并且它們承受這些變化的能力可以長(zhǎng)期保持。

只有具有自學(xué)習(xí)和自動(dòng)調(diào)整功能的基于行為的算法才能檢測(cè)和減輕這些攻擊。這也是為什么我們推薦您把火傘云納入您的選項(xiàng)，我們行業(yè)領(lǐng)先的應(yīng)用程序保護(hù)產(chǎn)品和解決方案的開發(fā)始終牢記一個(gè)目標(biāo)：在攻擊壓垮基礎(chǔ)設(shè)施之前檢測(cè)并阻止攻擊，從而確保客戶的安全。

審核編輯 黃宇