了解Web DDoS海嘯攻擊的4個維度

我們都知道近年來網絡攻擊的數量和頻率急劇上升，針對Web應用程序的DDoS海嘯攻擊就是其中增長非常迅速的一個種類。過去常見的HTTP/S洪水攻擊正在大范圍的轉變為更難對付的Web DDoS海嘯攻擊，每個人都應該提前做好被攻擊的準備并采取適當的保護措施。

哪些可以歸類為 Web DDoS 海嘯攻擊？

要了解Web DDoS海嘯攻擊（以及一般的 HTTP洪水攻擊），首先有必要了解這些攻擊的所涉及的4個維度：攻擊量、持續時間、使用的僵尸網絡的特征以及攻擊達成方式。

一、攻擊量

在過去的幾個月中，各種第三方組織都觀察到了若干次攻擊量達到數百萬次RPS（每秒請求）的HTTPS Flood 攻擊。其中一些大規模的攻擊甚至達到了數千萬RPS。這些巨型RPS攻擊級別代表了極端的 HTTPS 洪水，而且大容量的RPS攻擊數量還在不斷增長。我們有理由相信，地球上幾乎所有 Web 應用程序、Web 服務或任何其他在線資產都可能成為這波大規模 Web DDoS 海嘯攻擊的目標！Web DDoS 海嘯防護的需求確實是我們行業的“必備”需求。

Web DDoS 海嘯的興起不僅極大地影響了在線資產所有者，還極大地影響了WAF和DDoS 防護解決方案供應商，我們有責任保護客戶的在線資產和自己的基礎設施免受這些復雜的高RPS DDoS 攻擊。構建網絡海嘯攻擊檢測和緩解服務需要特別關注、專業知識和對適當基礎設施的大量投資。目標是在實現實際的客戶保護之前，消除保護基礎設施因攻擊的大量流量而不堪重負和飽和的情況。只有高容量的 L7 實體（網絡代理等）以及高度架構和堅固耐用的保護基礎設施，才能成功應對如此大量的攻擊量。 只有在DDoS和L7 AppSec保護方面技術精湛且經驗豐富的供應商（比如火傘云）才能滿足Web DDoS 海嘯新時代所產生的L7基礎設施和攻擊緩解要求。

二、攻擊持續時間

Web DDoS 海嘯攻擊可能持續幾秒到幾小時或者幾天不等。雖然一些臭名昭著的超高RPS（數百萬）攻擊通常持續不到一分鐘，但最近的其他Web DDoS海嘯攻擊也有不少持續了幾分鐘或幾個小時，火傘云的客戶也有數起經歷過持續數小時的海嘯襲擊。

除了持續時間之外，海嘯攻擊的強度也急劇上升，在多數情況下，攻擊會在不到10秒的時間內瞬間爆發到“全力”，然后就停留在那里。人們可以想象一個未受保護的網站在高流量期間突然在不到10秒的時間內躍升至50-100萬RPS的結果：該網站將關閉并且對合法用戶沒有反應，客戶不得不轉向另一個提供商來獲取他們所需的服務。

抵御海嘯襲擊不是一件容易的任務，它需要高度的DDoS和AppSec保護專業知識。每個Web DDoS 海嘯防護基礎設施都必須能夠應對和吸收傳入負載的急劇增加，準備好在不同的時間段內保持此容量，并以高效且經濟高效的方式完成這一切，而且這都需要在保證客戶在線資產安全啟動和運行的同時完成。

三、所使用的僵尸網絡的特征

以下是火傘云總結的主要與攻擊檢測和緩解相關的維度：

首先，我們應該考慮僵尸網絡的規模。 最主要指標是發起攻擊的IP數量，使用的攻擊者IP數量通?？梢詮臄登У綌凳f不等。IP 可以分布在全球各地，也可以分配給眾多自治系統編號 (ASN)，這些編號通常由服務提供商擁有，用于標識互聯網上存在的網絡。 因此，在 Web DDoS 海嘯期間，每個攻擊者的 IP 都可以生成相似的、更高或更低的RPS水平，合法客戶端的平均RPS水平也是如此。因此，將流量最大的IP（即在某個時間范圍內收到的RPS最高的客戶端IP）視為攻擊者作為緩解技術（包括提供其他傳統緩解方法，例如具有高RPS級別的速率限制源 IP）可能會產生不必要的誤報。在火傘云看到的一些現實案例中，攻擊者從大規模僵尸網絡中生成Web DDoS海嘯攻擊，且每個單獨的機器人都只會生成非常低的 RPS 量，以逃避用于緩解此類攻擊的簡單方法。

Web DDoS海嘯也可能源自各種類型的源可能分配或擁有的源IP 。最常見的攻擊可能是攻擊者的IP屬于公共代理的攻擊，例如開放代理、匿名代理或開放VPN。攻擊者通常使用這種方式來混淆他們的真實身份。 此外，__攻擊者的 IP 可能屬于合法用戶（即屬于無辜、不知情的用戶的家庭路由器）、云提供商IP、網絡托管提供商IP 和受感染的物聯網設備。__攻擊者主要使用這些不同類型的IP來混淆自己，以免被識別和簡單地阻止。因此，如果僅使用威脅情報信息根據IP地址從屬關系來緩解攻擊，則不會檢測到并緩解攻擊。 當攻擊來自合法的住宅 IP（大多數在線服務的合法客戶端）時，威脅情報源資源庫就無濟于事了。僅基于 IP 地址情報構建緩解策略可能會產生不必要的漏報。

而且為了構建海嘯級的 HTTP 攻擊， 不同的黑客團體有時會合作并同時攻擊單個受害者 。因此，一次攻擊中可能會出現多種類型的攻擊IP地址和大量RPS，這使得處理起來變得復雜且具有挑戰性。

四、攻擊達成方式

最開始，Web DDoS 海嘯攻擊是由一個簡單的HTTP請求組成的，該攻擊是由大量傳輸或復制的單個事務構建。例如，它可以是對“/”的簡單HTTP GET以及一組非?；镜腍TTP 標頭，例如Host和 Accept。 一方面，這些交易看起來合法，因此傳統WAAF或其他現有手段不太可能緩解攻擊。另一方面，緩解實體可能能夠簡單地阻止或過濾此特定的單個事務，然后再將其傳遞到受保護組織的在線資產。 在這種情況下，攻擊將會減輕。然而，如今 Web DDoS海嘯變得更加復雜，攻擊者通過構建更復雜和真實的交易來避免這種簡單的檢測和緩解。此外，他們嚴重依賴隨機化。網絡海嘯攻擊中出現了各種各樣的攻擊交易結構。攻擊者制作更真實、更合法的交易，其中包含一組“看起來合法”的查詢參數、更多HTTP標頭、用戶代理和引用標頭、Web Cookie 等。攻擊請求具有各種HTTP方法（POST、PUT、HEAD等），并定向到受保護應用程序內的多個路徑。攻擊者生成的交易的許多屬性是連續隨機的，有時是基于單個交易的。使用這種高水平的隨機化使得簡單的緩解措施變得不切實際。海嘯 DDoS攻擊表現為合法的流量請求，并且不斷隨機化。因此，當旨在完美緩解時，沒有簡單的、預定義的簽名或基于規則的機制來提供攻擊緩解，因為請求看起來合法并且不表明惡意意圖。

使這些攻擊如此難以緩解的另一個原因是，即便加密的流量被解密，它看起來仍然是合法的。Web DDoS 海嘯攻擊者利用大量復雜的規避技術來繞過傳統的應用程序保護。為了增加這些攻擊的復雜性，攻擊者在攻擊期間改變其攻擊模式或同時使用多個攻擊請求結構。當攻擊由多個精心策劃的僵尸網絡發起且攻擊者的多種策略同時出現時，情況會變得更加復雜。由于所有這些攻擊者策略，Web DDoS 海嘯攻擊可能包含數百萬個不同的交易，且所有這些交易看起來都是合法的。如果不將這些攻擊視為一種零日攻擊，并專門使用一組預定義的過濾器來緩解攻擊，則可能會導致緩解過程中出現大量不必要的漏報。想象一下假如有一次高達300萬次RPS攻擊，其中誤報率為1%；也一樣會帶來許多在線資產無法承受流量而泄漏的影響。

抵御Web DDoS海嘯攻擊的合適選項

了解Web DDoS 海嘯攻擊的不同維度很重要，但更重要的是了解如何保護您的組織免受此類攻擊。為了防范這些攻擊，組織需要一種能夠快速實時適應攻擊活動的解決方案。常規的本地化或基于云的DDoS和 WAAF解決方案無法做到這一點：因為這些威脅是動態的，以至于它們的頻率無法預測，攻擊向量是隨機的，源IP和其他參數會發生變化，并且它們承受這些變化的能力可以長期保持。

只有具有自學習和自動調整功能的基于行為的算法才能檢測和減輕這些攻擊。這也是為什么我們推薦您把火傘云納入您的選項，我們行業領先的應用程序保護產品和解決方案的開發始終牢記一個目標：在攻擊壓垮基礎設施之前檢測并阻止攻擊，從而確?？蛻舻陌踩?。

審核編輯 黃宇