我們都知道近年來網(wǎng)絡攻擊的數(shù)量和頻率急劇上升，針對Web應用程序的DDoS海嘯攻擊就是其中增長非常迅速的一個種類。過去常見的HTTP/S洪水攻擊正在大范圍的轉(zhuǎn)變?yōu)楦y對付的Web DDoS海嘯攻擊，每個人都應該提前做好被攻擊的準備并采取適當?shù)谋Ｗo措施。

哪些可以歸類為 Web DDoS 海嘯攻擊？

要了解Web DDoS海嘯攻擊（以及一般的 HTTP洪水攻擊），首先有必要了解這些攻擊的所涉及的4個維度：攻擊量、持續(xù)時間、使用的僵尸網(wǎng)絡的特征以及攻擊達成方式。

一、攻擊量

在過去的幾個月中，各種第三方組織都觀察到了若干次攻擊量達到數(shù)百萬次RPS（每秒請求）的HTTPS Flood 攻擊。其中一些大規(guī)模的攻擊甚至達到了數(shù)千萬RPS。這些巨型RPS攻擊級別代表了極端的 HTTPS 洪水，而且大容量的RPS攻擊數(shù)量還在不斷增長。我們有理由相信，地球上幾乎所有 Web 應用程序、Web 服務或任何其他在線資產(chǎn)都可能成為這波大規(guī)模 Web DDoS 海嘯攻擊的目標！Web DDoS 海嘯防護的需求確實是我們行業(yè)的“必備”需求。

Web DDoS 海嘯的興起不僅極大地影響了在線資產(chǎn)所有者，還極大地影響了WAF和DDoS 防護解決方案供應商，我們有責任保護客戶的在線資產(chǎn)和自己的基礎設施免受這些復雜的高RPS DDoS 攻擊。構(gòu)建網(wǎng)絡海嘯攻擊檢測和緩解服務需要特別關注、專業(yè)知識和對適當基礎設施的大量投資。目標是在實現(xiàn)實際的客戶保護之前，消除保護基礎設施因攻擊的大量流量而不堪重負和飽和的情況。只有高容量的 L7 實體（網(wǎng)絡代理等）以及高度架構(gòu)和堅固耐用的保護基礎設施，才能成功應對如此大量的攻擊量。 只有在DDoS和L7 AppSec保護方面技術精湛且經(jīng)驗豐富的供應商（比如火傘云）才能滿足Web DDoS 海嘯新時代所產(chǎn)生的L7基礎設施和攻擊緩解要求。

二、攻擊持續(xù)時間

Web DDoS 海嘯攻擊可能持續(xù)幾秒到幾小時或者幾天不等。雖然一些臭名昭著的超高RPS（數(shù)百萬）攻擊通常持續(xù)不到一分鐘，但最近的其他Web DDoS海嘯攻擊也有不少持續(xù)了幾分鐘或幾個小時，火傘云的客戶也有數(shù)起經(jīng)歷過持續(xù)數(shù)小時的海嘯襲擊。

除了持續(xù)時間之外，海嘯攻擊的強度也急劇上升，在多數(shù)情況下，攻擊會在不到10秒的時間內(nèi)瞬間爆發(fā)到“全力”，然后就停留在那里。人們可以想象一個未受保護的網(wǎng)站在高流量期間突然在不到10秒的時間內(nèi)躍升至50-100萬RPS的結(jié)果：該網(wǎng)站將關閉并且對合法用戶沒有反應，客戶不得不轉(zhuǎn)向另一個提供商來獲取他們所需的服務。

抵御海嘯襲擊不是一件容易的任務，它需要高度的DDoS和AppSec保護專業(yè)知識。每個Web DDoS 海嘯防護基礎設施都必須能夠應對和吸收傳入負載的急劇增加，準備好在不同的時間段內(nèi)保持此容量，并以高效且經(jīng)濟高效的方式完成這一切，而且這都需要在保證客戶在線資產(chǎn)安全啟動和運行的同時完成。

三、所使用的僵尸網(wǎng)絡的特征

以下是火傘云總結(jié)的主要與攻擊檢測和緩解相關的維度：

首先，我們應該考慮僵尸網(wǎng)絡的規(guī)模。 最主要指標是發(fā)起攻擊的IP數(shù)量，使用的攻擊者IP數(shù)量通常可以從數(shù)千到數(shù)十萬不等。IP 可以分布在全球各地，也可以分配給眾多自治系統(tǒng)編號 (ASN)，這些編號通常由服務提供商擁有，用于標識互聯(lián)網(wǎng)上存在的網(wǎng)絡。 因此，在 Web DDoS 海嘯期間，每個攻擊者的 IP 都可以生成相似的、更高或更低的RPS水平，合法客戶端的平均RPS水平也是如此。因此，將流量最大的IP（即在某個時間范圍內(nèi)收到的RPS最高的客戶端IP）視為攻擊者作為緩解技術（包括提供其他傳統(tǒng)緩解方法，例如具有高RPS級別的速率限制源 IP）可能會產(chǎn)生不必要的誤報。在火傘云看到的一些現(xiàn)實案例中，攻擊者從大規(guī)模僵尸網(wǎng)絡中生成Web DDoS海嘯攻擊，且每個單獨的機器人都只會生成非常低的 RPS 量，以逃避用于緩解此類攻擊的簡單方法。

Web DDoS海嘯也可能源自各種類型的源可能分配或擁有的源IP 。最常見的攻擊可能是攻擊者的IP屬于公共代理的攻擊，例如開放代理、匿名代理或開放VPN。攻擊者通常使用這種方式來混淆他們的真實身份。 此外，__攻擊者的 IP 可能屬于合法用戶（即屬于無辜、不知情的用戶的家庭路由器）、云提供商IP、網(wǎng)絡托管提供商IP 和受感染的物聯(lián)網(wǎng)設備。__攻擊者主要使用這些不同類型的IP來混淆自己，以免被識別和簡單地阻止。因此，如果僅使用威脅情報信息根據(jù)IP地址從屬關系來緩解攻擊，則不會檢測到并緩解攻擊。 當攻擊來自合法的住宅 IP（大多數(shù)在線服務的合法客戶端）時，威脅情報源資源庫就無濟于事了。僅基于 IP 地址情報構(gòu)建緩解策略可能會產(chǎn)生不必要的漏報。

而且為了構(gòu)建海嘯級的 HTTP 攻擊， 不同的黑客團體有時會合作并同時攻擊單個受害者 。因此，一次攻擊中可能會出現(xiàn)多種類型的攻擊IP地址和大量RPS，這使得處理起來變得復雜且具有挑戰(zhàn)性。

四、攻擊達成方式

最開始，Web DDoS 海嘯攻擊是由一個簡單的HTTP請求組成的，該攻擊是由大量傳輸或復制的單個事務構(gòu)建。例如，它可以是對“/”的簡單HTTP GET以及一組非常基本的HTTP 標頭，例如Host和 Accept。 一方面，這些交易看起來合法，因此傳統(tǒng)WAAF或其他現(xiàn)有手段不太可能緩解攻擊。另一方面，緩解實體可能能夠簡單地阻止或過濾此特定的單個事務，然后再將其傳遞到受保護組織的在線資產(chǎn)。 在這種情況下，攻擊將會減輕。然而，如今 Web DDoS海嘯變得更加復雜，攻擊者通過構(gòu)建更復雜和真實的交易來避免這種簡單的檢測和緩解。此外，他們嚴重依賴隨機化。網(wǎng)絡海嘯攻擊中出現(xiàn)了各種各樣的攻擊交易結(jié)構(gòu)。攻擊者制作更真實、更合法的交易，其中包含一組“看起來合法”的查詢參數(shù)、更多HTTP標頭、用戶代理和引用標頭、Web Cookie 等。攻擊請求具有各種HTTP方法（POST、PUT、HEAD等），并定向到受保護應用程序內(nèi)的多個路徑。攻擊者生成的交易的許多屬性是連續(xù)隨機的，有時是基于單個交易的。使用這種高水平的隨機化使得簡單的緩解措施變得不切實際。海嘯 DDoS攻擊表現(xiàn)為合法的流量請求，并且不斷隨機化。因此，當旨在完美緩解時，沒有簡單的、預定義的簽名或基于規(guī)則的機制來提供攻擊緩解，因為請求看起來合法并且不表明惡意意圖。

使這些攻擊如此難以緩解的另一個原因是，即便加密的流量被解密，它看起來仍然是合法的。Web DDoS 海嘯攻擊者利用大量復雜的規(guī)避技術來繞過傳統(tǒng)的應用程序保護。為了增加這些攻擊的復雜性，攻擊者在攻擊期間改變其攻擊模式或同時使用多個攻擊請求結(jié)構(gòu)。當攻擊由多個精心策劃的僵尸網(wǎng)絡發(fā)起且攻擊者的多種策略同時出現(xiàn)時，情況會變得更加復雜。由于所有這些攻擊者策略，Web DDoS 海嘯攻擊可能包含數(shù)百萬個不同的交易，且所有這些交易看起來都是合法的。如果不將這些攻擊視為一種零日攻擊，并專門使用一組預定義的過濾器來緩解攻擊，則可能會導致緩解過程中出現(xiàn)大量不必要的漏報。想象一下假如有一次高達300萬次RPS攻擊，其中誤報率為1%；也一樣會帶來許多在線資產(chǎn)無法承受流量而泄漏的影響。

抵御Web DDoS海嘯攻擊的合適選項

了解Web DDoS 海嘯攻擊的不同維度很重要，但更重要的是了解如何保護您的組織免受此類攻擊。為了防范這些攻擊，組織需要一種能夠快速實時適應攻擊活動的解決方案。常規(guī)的本地化或基于云的DDoS和 WAAF解決方案無法做到這一點：因為這些威脅是動態(tài)的，以至于它們的頻率無法預測，攻擊向量是隨機的，源IP和其他參數(shù)會發(fā)生變化，并且它們承受這些變化的能力可以長期保持。

只有具有自學習和自動調(diào)整功能的基于行為的算法才能檢測和減輕這些攻擊。這也是為什么我們推薦您把火傘云納入您的選項，我們行業(yè)領先的應用程序保護產(chǎn)品和解決方案的開發(fā)始終牢記一個目標：在攻擊壓垮基礎設施之前檢測并阻止攻擊，從而確保客戶的安全。

審核編輯 黃宇