近期數(shù)據(jù)顯示，針對(duì)應(yīng)用層的DDOS攻擊有加速的趨勢(shì)。據(jù)預(yù)測(cè)，基于應(yīng)用層的DDOS攻擊每年以三倍的速度增長(zhǎng)，Gartner預(yù)測(cè)DDOS攻擊會(huì)占2013年所有的應(yīng)用層攻擊中的25%左右。研究指出，黑客現(xiàn)在利用DDOS攻擊來(lái)分散安全管理員的注意力從而伺機(jī)竊取敏感信息或者用戶賬號(hào)中的金錢。Verizon在2012年的數(shù)據(jù)外泄研究報(bào)告中指出“這些攻擊比別的攻擊更加令人恐懼，無(wú)論是真的發(fā)生的或者是基于設(shè)想的。”連接互聯(lián)網(wǎng)的設(shè)備，社交網(wǎng)絡(luò)，和云計(jì)算的發(fā)展更是加速了這些新型的攻擊變化。

過(guò)去，DDOS攻擊使用大量偽造的UDP,TCPSYN,或者ICMP流量來(lái)意圖淹沒(méi)目標(biāo)網(wǎng)絡(luò)。各種供應(yīng)商提供了不同的解決方案來(lái)對(duì)付他們，包括各種邊界設(shè)備和服務(wù)提供商提供的防御服務(wù)，如，ISPs防火墻，云服務(wù)，CDN清洗平臺(tái)。然而，當(dāng)今的攻擊平臺(tái)已經(jīng)進(jìn)化到包含應(yīng)用層的DDOS攻擊，目標(biāo)是Web系統(tǒng)和DNS系統(tǒng)。而且，從攻擊者的角度來(lái)看，應(yīng)用層的DDOS攻擊需要更少的資源和可以更隱秘地進(jìn)行，他們能使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施仍然能有回應(yīng)的情況下，秘密地使應(yīng)用服務(wù)不可訪問(wèn)，達(dá)到拒絕服務(wù)的效果。

接下來(lái)，我們簡(jiǎn)要闡述一些典型的針對(duì)應(yīng)用層的DDOS攻擊以及防御解決方案。

僵尸網(wǎng)絡(luò)和應(yīng)用層DDOS攻擊

僵尸網(wǎng)絡(luò)是感染了惡意程序的網(wǎng)絡(luò)計(jì)算機(jī)被C&C服務(wù)器控制的一個(gè)龐大網(wǎng)絡(luò)。最新攻擊不僅使網(wǎng)絡(luò)計(jì)算機(jī)，還能使更多的移動(dòng)設(shè)備和基于云的設(shè)備也成為肉雞。復(fù)雜的僵尸網(wǎng)絡(luò)程序，如Mebroot，可以運(yùn)行在操作系統(tǒng)之前，避免防病毒軟件的檢測(cè)，從而可以隨心所欲地控制成為肉雞的計(jì)算機(jī)。

僵尸網(wǎng)絡(luò)與C&C服務(wù)器之間的通訊是在隱蔽的信道中進(jìn)行的，并且經(jīng)過(guò)加密，采用先進(jìn)的逃逸技術(shù)來(lái)掩蓋蹤跡，可以輕易地穿過(guò)防火墻而不被察覺(jué)。控制僵尸網(wǎng)絡(luò)的黑客，通過(guò)C&C僵尸網(wǎng)絡(luò)控制服務(wù)器來(lái)發(fā)布攻擊指令，如發(fā)送垃圾郵件，DDOS攻擊，遍歷銀行個(gè)人用戶密碼信息或者信用卡號(hào)等信息。

目前，租用或者創(chuàng)建僵尸網(wǎng)絡(luò)已經(jīng)成為繁榮的地下市場(chǎng)。

雖然防御DDOS攻擊非常重要，但是防止您的應(yīng)用服務(wù)器和網(wǎng)絡(luò)資源變成僵尸網(wǎng)絡(luò)的一部分也同樣重要。把應(yīng)用服務(wù)器變?yōu)榻┦W(wǎng)絡(luò)的肉雞對(duì)于黑客來(lái)說(shuō)具有非常大的吸引力，因?yàn)榉?wù)器可以為他們提供更龐大的系統(tǒng)攻擊資源和為他們獲取更多的肉雞提供優(yōu)秀的平臺(tái)。

應(yīng)用服務(wù)器通常會(huì)含有定制的，自帶的，或者是第三方的應(yīng)用程序。任何的零日漏洞都會(huì)導(dǎo)致被黑客攻擊而使您的服務(wù)器或網(wǎng)絡(luò)資源成為僵尸網(wǎng)絡(luò)的活動(dòng)區(qū)域。梭子魚Web應(yīng)用防火墻提供健壯的安全特性來(lái)防止惡意軟件的上傳，命令注入，目錄遍歷，或者任何其他諸如探測(cè)或者攻擊等的入侵應(yīng)用服務(wù)器的行為。

防御HTTP GET和POST洪水攻擊

Web應(yīng)用通常會(huì)有一些調(diào)用數(shù)據(jù)庫(kù)，內(nèi)存或者CPU運(yùn)算等的比較消耗資源的頁(yè)面或者接口。例如，文本搜索，僵尸網(wǎng)絡(luò)會(huì)頻繁地訪問(wèn)這些頁(yè)面導(dǎo)致Web應(yīng)用崩潰。

對(duì)于這種情況，梭子魚第一層的保護(hù)是為特定的應(yīng)用設(shè)定合適的人為訪問(wèn)閥值。例如，人們?cè)L問(wèn)銀行業(yè)務(wù)的應(yīng)用大概會(huì)在1分鐘內(nèi)訪問(wèn)10個(gè)頁(yè)面，那我們就把這個(gè)閥值設(shè)置好，而且，人為的訪問(wèn)會(huì)帶有有效的客戶端報(bào)頭，如Cookies和Referrers報(bào)頭。一般通過(guò)腳本程序來(lái)訪問(wèn)的話都不會(huì)有這方面的信息。

防御HTTP“Slow Attacks”

一些攻擊手段會(huì)使僵尸主機(jī)與攻擊目標(biāo)的交互停留在局部的請(qǐng)求與應(yīng)答當(dāng)中，并且提供滿足最低交互要求的數(shù)據(jù)以防止服務(wù)器訪問(wèn)超時(shí)關(guān)閉會(huì)話。這種攻擊以消耗系統(tǒng)資源來(lái)使得應(yīng)用處理效率降低，最后導(dǎo)致服務(wù)器沒(méi)有能力再處理新來(lái)的請(qǐng)求流量。這種攻擊稱為“lowandslow”攻擊，因?yàn)橹恍枰〔糠值目蛻舳送ㄟ^(guò)較低的網(wǎng)絡(luò)帶寬就可以暗地里地和慢慢地完成對(duì)服務(wù)器的DDOS攻擊，這種攻擊目前非常流行。

Slowloris攻擊是典型的Slow攻擊，它會(huì)在一定的時(shí)間間隔內(nèi)向攻擊目標(biāo)服務(wù)器重復(fù)初始化和發(fā)送HTTP報(bào)頭，但是卻不會(huì)把報(bào)頭發(fā)送完畢，這使得服務(wù)器線程和網(wǎng)絡(luò)資源不能被釋放出來(lái)，最終導(dǎo)致服務(wù)器資源耗盡達(dá)到拒絕服務(wù)攻擊的效果。從協(xié)議的合規(guī)性分析，這種攻擊流量是正常的流量，所以依靠特征庫(kù)和黑名單技術(shù)的防護(hù)設(shè)備是檢測(cè)不出這種攻擊的。

憑借著反向代理技術(shù)，協(xié)議和應(yīng)用可視性的優(yōu)勢(shì)，梭子魚Web應(yīng)用防火墻可以識(shí)別和阻斷不正常的流量，通過(guò)自適應(yīng)安全算法監(jiān)控不斷增長(zhǎng)和聚合的通訊流量，關(guān)閉惡意連接，從而防止這些惡意流量過(guò)度地消耗系統(tǒng)資源。

基于客戶端完整性檢查防御僵尸網(wǎng)絡(luò)攻擊

除了像Google和百度這些搜索引擎索引Web頁(yè)面之外，面向互聯(lián)網(wǎng)訪問(wèn)的絕大部分的Web應(yīng)用流量都是來(lái)自于用戶的瀏覽器，如InternetExplorer,Firefox,Chrome,或者Safari等。然而來(lái)自僵尸網(wǎng)絡(luò)的流量通常由自動(dòng)化的腳本程序產(chǎn)生，和瀏覽器正常產(chǎn)生的流量不一樣。因此，采用一些探測(cè)性的算法可以把人為產(chǎn)生的流量和僵尸網(wǎng)絡(luò)產(chǎn)生的流量區(qū)分開(kāi)來(lái)。

梭子魚Web應(yīng)用防火墻提供兩種方法來(lái)檢測(cè)和過(guò)濾產(chǎn)生這些流量的源頭。第一種方法是，通過(guò)在可疑的客戶端訪問(wèn)中插入檢測(cè)指令來(lái)檢驗(yàn)Web瀏覽器和應(yīng)用會(huì)話是否正常，這是一種被動(dòng)的挑戰(zhàn)應(yīng)答方式，這種方式不會(huì)干涉正常的人為訪問(wèn)流量，但是可以檢測(cè)和阻斷僵尸網(wǎng)絡(luò)產(chǎn)生的流量。第二種方法是主動(dòng)的挑戰(zhàn)應(yīng)答方式，通過(guò)驗(yàn)證碼的方式驗(yàn)證客戶端的訪問(wèn)是否正常，這種方法不需要修改后端Web服務(wù)器的任何配置。

由于驗(yàn)證碼驗(yàn)證方式會(huì)干涉用戶的訪問(wèn)，所以企業(yè)和組織可以合理利用這兩種被動(dòng)和主動(dòng)的檢測(cè)算法，只對(duì)經(jīng)過(guò)被動(dòng)式檢測(cè)到的可疑客戶端使用主動(dòng)式的驗(yàn)證碼驗(yàn)證方式。

使用地理位置IP信息降低DDOS攻擊的可能性

僵尸網(wǎng)絡(luò)分布于世界各個(gè)角落，在某些國(guó)家和地區(qū)尤為嚴(yán)重，在不同的地理位置發(fā)動(dòng)攻擊。梭子魚Web應(yīng)用防火墻具有內(nèi)置的地理位置IP信息庫(kù)，可以定位具體發(fā)動(dòng)攻擊的IP地址的地理位置。在攻擊發(fā)生過(guò)程中，可以使用該功能阻斷來(lái)自某個(gè)發(fā)動(dòng)攻擊的主要國(guó)家或地區(qū)的攻擊流量。

根據(jù)僵尸網(wǎng)絡(luò)分布的足跡，大約30%-70%的攻擊流量可以被基于地理位置的訪問(wèn)控制策略阻斷。這不僅僅可以使您可以繼續(xù)為正常地區(qū)的用戶提供Web應(yīng)用服務(wù)，而且可以釋放系統(tǒng)資源和網(wǎng)絡(luò)帶寬。

使用客戶端IP地址信譽(yù)過(guò)濾僵尸網(wǎng)絡(luò)流量

僵尸網(wǎng)絡(luò)逐步發(fā)展得越來(lái)越大規(guī)模，通常可以被利用來(lái)發(fā)垃圾郵件，DDOS攻擊，APTs等。梭子魚網(wǎng)絡(luò)在郵件安全，上網(wǎng)安全，網(wǎng)絡(luò)安全和Web應(yīng)用安全等領(lǐng)域可以提供成熟的安全解決方案，并且全球客戶數(shù)已經(jīng)超過(guò)150000。梭子魚擁有業(yè)界領(lǐng)先的信譽(yù)數(shù)據(jù)庫(kù)，包括惡意威脅分類規(guī)則庫(kù)和惡意IP信息庫(kù)，這就是由梭子魚實(shí)驗(yàn)室維護(hù)的梭子魚信譽(yù)黑名單（BRBL）。

梭子魚Web應(yīng)用防火墻集成BRBL來(lái)防御僵尸網(wǎng)絡(luò)的攻擊。在持續(xù)不斷的DDOS攻擊期間，梭子魚的信譽(yù)技術(shù)可以很好地檢測(cè)和阻斷針對(duì)您的服務(wù)器的僵尸網(wǎng)絡(luò)流量攻擊。另外，梭子魚Web應(yīng)用防火墻具有阻斷來(lái)自于匿名和中繼代理的流量的能力，這些代理經(jīng)常被黑客用來(lái)探測(cè)和執(zhí)行高級(jí)持續(xù)性的威脅攻擊。

所有上述的信譽(yù)地址庫(kù)都可以自動(dòng)實(shí)時(shí)地通過(guò)梭子魚的活力更新（EU）下載到設(shè)備上，從而可以保證設(shè)備使用最新的規(guī)則地址信息庫(kù)而不需要管理員的人工干預(yù)。

綜述防御應(yīng)用層DDOS攻擊

綜上所述，企業(yè)需要采用一套綜合的防護(hù)策略來(lái)對(duì)付僵尸網(wǎng)絡(luò)以及基于應(yīng)用層的DDOS攻擊，應(yīng)用層流量的可視性和可控性是網(wǎng)絡(luò)分層防御策略的關(guān)鍵元素，可有效地防御多元化的DDOS攻擊。

有時(shí)，企業(yè)或組織不太愿意采用DDOS防御系統(tǒng)的原因主要是考慮到成本、效果和投資回報(bào)率等問(wèn)題。梭子魚Web應(yīng)用防火墻是一個(gè)硬件或者虛擬化的應(yīng)用層解決方案。它整合了實(shí)時(shí)狀態(tài)分析技術(shù)和歷史數(shù)據(jù)智能分析技術(shù)來(lái)防御應(yīng)用層的DDOS攻擊。梭子魚Web應(yīng)用防火墻可以基于應(yīng)用閥值，協(xié)議檢測(cè)，會(huì)話完整性，主動(dòng)和被動(dòng)的客戶端挑戰(zhàn)應(yīng)答方式，客戶端歷史訪問(wèn)信譽(yù)，地理位置，匿名代理檢查等技術(shù)來(lái)防御應(yīng)用層的攻擊。所有這些技術(shù)都已經(jīng)集成到加固了的應(yīng)用防火墻系統(tǒng)平臺(tái)，提供卓越的ROI和合規(guī)性的功能。不像一些服務(wù)提供商解決方案那樣根據(jù)流量收費(fèi)，梭子魚Web應(yīng)用防火墻防御DDOS攻擊不會(huì)根據(jù)攻擊的流量和頻率來(lái)收費(fèi)，可以最低的成本提供實(shí)時(shí)的防護(hù)手段。