精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

如果應用層 DDOS 攻擊吞噬大量帶寬，可能給 DDOS 前置防御帶來麻煩。

安全研究人員近期觀察了一次大型應用層 DDOS 攻擊。黑客在這次攻擊中使用了新技術，能夠輕松擊破 DDOS 防御。這可能成為 Web 應用運營商未來需要面對的大問題。

這次攻擊的目標是中國的一家博彩網站，峰值達到 8.7Gbps ，受害站點使用了來自 Imperva 公司的 DDOS 防御服務。如今是一個 DDOS 攻擊帶寬頻頻超過 100Gbps 的時代， 8.7Gbps 似乎算不上什么大威脅，然而這次事件在應用層攻擊的歷史上是前所未有的。

DDOS 攻擊會在網絡層和應用層之間擇一進行攻擊。在網絡層攻擊中，攻擊者的目標是通過各種網絡協議發送惡意數據包，吞噬目標的全部帶寬，使其網絡阻塞。

應用層攻擊也被稱為 HTTP 洪泛，其目的是吞噬目標的 CPU 和內存等計算資源，讓 Web 服務器疲于應對請求。一旦達到請求上限，服務器將停止響應新請求，對正常用戶造成 DDOS 攻擊效果。

相比之下， HTTP 洪泛攻擊與網絡層攻擊有所不同。 HTTP 洪泛并不依靠發送數據包的體積來造成破壞，而是依靠目標 Web 應用需要處理的請求數量。迄今為止，最大規模的 HTTP 洪泛能制造每秒20萬次請求，但由于每個請求包的體積都非常小，其帶寬占用從未超過 500Mbps 。

大多數企業網絡基礎設施的設計上限是每秒處理100個請求。 Imperva 公司的研究人員表示，如果沒有部署反 DDOS 服務，對仿冒請求進行檢測和過濾，黑客將很容易擾亂其運作。

要防御網絡層攻擊，企業通常需要將所有流量首先導給 DDOS 防御方案運營商。運營商將過濾其中的惡意數據包，只向客戶傳輸合法包。

防御應用層攻擊的過程則不同：一般通過在客戶的 Web 服務器前方增加特制的硬件設備實現。

混合型 DDOS 防御方案由上述兩種方案組成：基于云的網絡層防御和前置型的應用層防御。但它有可能對此次出現的 8.7Gbps 之大的 HTTP 洪泛攻擊無能為力。

由 Nitol 惡意軟件感染設備組成的僵尸網絡發起了這次攻擊，它們發送模擬成百度搜索引擎爬蟲的 HTTP POST 請求。請求數量達到每秒16.3萬次，試圖向服務器上傳隨機生成的大體積文件。這產生了相當巨大的攻擊帶寬腳印。

Imperva 公司研究人員在發布的博文中寫道：“只有在建立 TCP 連接之后，才能過濾應用層流量。這意味著惡意流量將被允許接入，這種大帶寬攻擊將產生很大破壞，只有當企業使用外部防御方案時才能解決這一問題。”

這意味著網絡層 DDOS 防御服務將放過這些流量，讓企業的前置型防御方案解決，但后者的功能本來是處理應用層攻擊。不過，惡意數據包實際上不會到達應用層，因為企業網絡上行帶寬無法處理它們生成的流量。這有點像是在應用層攻擊后邊藏了網絡層攻擊。

“的確，當今的一些大型機構已經配備了 10Gb 的突發上行能力。然而攻擊者可以輕松發起更多請求，或者調用更多僵尸網絡資源，增大攻擊規模。因此第二波攻擊可以輕松達到 12到15Gbps 。非通信運營商的存在機機構極少擁有能夠解決這類前置攻擊的基礎設施。”

有些行業很難應對這種高帶寬應用層攻擊，比如金融行業。金融機構的 Web 應用需要使用 HTTPS 加密數據傳輸，此外，出于監管合規的要求，為了保護財務和個人數據，它們還必須在企業內部，用自己的基礎設施終止惡意 HTTPS 鏈接。

因此，應用層 DDOS 防護方案也只能在數據解密之后過濾請求。而且，他們必須在機構內部做到這一點。