DDoS攻擊已經(jīng)成為一種非常多見的攻擊方式，其攻防技術(shù)都已經(jīng)非常成熟。近幾年來，DDoS攻擊又演變出了更多的花樣，攻擊的規(guī)模也在逐漸擴大，特別是針對應(yīng)用層的DDoS攻擊，給用戶帶來了新的網(wǎng)絡(luò)安全威脅。那么，什么是應(yīng)用層DDoS攻擊?與傳統(tǒng)的網(wǎng)絡(luò)層DDoS攻擊又有什么區(qū)別呢?

網(wǎng)絡(luò)層DDoS 攻擊是利用了TCP 協(xié)議“先天”的缺陷。兩臺機器通信時要先進行三次握手，首先是客戶機發(fā)出一個請求 (SYN) ，服務(wù)器收到該請求后，填寫會話信息表 (TCB，保存在內(nèi)存中)并且向客戶機反饋一個回應(yīng)包 (SYN-ACK) ，此時該連接處于半開連接狀態(tài)，正常情況下，客戶端會回應(yīng)ACK包，三次握手完成。如果服務(wù)器沒有收到客戶機的 ACK 信息包，會隔一段時間再發(fā)送一次回應(yīng)包 SYN-ACK，這樣經(jīng)過多次重試后，客戶機還沒有回應(yīng)的話，服務(wù)器才會關(guān)閉會話并從 TCB 中刪除。

怎么樣，看出問題了嗎?如果有人想攻擊服務(wù)器，很簡單，攻擊端收到服務(wù)器的SYN-ACK包以后，不再回應(yīng)ACK包，服務(wù)器會等待一段時間才會釋放TCB。攻擊者控制“肉雞”同時向服務(wù)器發(fā)起大量的請求 (SYN) ，并且本身拒絕發(fā)送 SYN-ACK 回應(yīng)，服務(wù)器的 TCB 將會很快超出正常負荷，服務(wù)器無法響應(yīng)正常用戶的請求，最終導致業(yè)務(wù)中斷。

這種利用TCP協(xié)議缺陷的DDoS攻擊，可以用“簡單粗暴”這個詞來形容，其特征比較明顯，非常容易被識別，目前針對它的防護技術(shù)也已經(jīng)較為成熟。

同樣的，應(yīng)用層協(xié)議也有著自己的不足，攻擊者也正是利用了一點。應(yīng)用層協(xié)議較為復雜且形式多樣，應(yīng)用層DDoS攻擊并不具備傳統(tǒng)攻擊的特征，一般網(wǎng)絡(luò)安全設(shè)備很難檢測到，其破壞力也遠大于傳統(tǒng)的網(wǎng)絡(luò)層DDoS攻擊。

以HTTP協(xié)議為例，常見的HTTP DDoS攻擊主要有兩種，CC攻擊和慢速攻擊。CC攻擊是一種針對WEB服務(wù)器的Flood(泛洪)攻擊，即HTTP Get Flood，它以消耗服務(wù)器的帶寬資源為目的。攻擊者操控大量“肉雞”對服務(wù)器發(fā)送大量的HTTP Request，導致服務(wù)器帶寬資源耗盡，無法響應(yīng)正常用戶的請求。

由于很多網(wǎng)站使用動態(tài)頁面的技術(shù)，通常一次GET 請求可能引發(fā)后臺數(shù)據(jù)庫的查詢等動作，當HTTP Get 數(shù)量增加到一定程度時，數(shù)據(jù)庫也將不堪重負，導致動態(tài)頁面無法響應(yīng)。從攻擊手法上來看，CC攻擊與傳統(tǒng)網(wǎng)絡(luò)層DDoS攻擊類似，都是發(fā)送大量的請求，耗盡服務(wù)器帶寬資源，只是二者利用的協(xié)議不同。

另一種常見的攻擊是慢速攻擊，它是以消耗服務(wù)器的計算資源為目的，它并不需要“簡單粗暴”的發(fā)送大量的數(shù)據(jù)包，只發(fā)送很少的數(shù)據(jù)即可給服務(wù)器造成致命的打擊。

攻擊者跟服務(wù)器建立連接時，先指定一個比較大的Content-Length，然后以非常低的速度發(fā)包，比如1-10s 發(fā)一個字節(jié)，服務(wù)器認為客戶端要發(fā)送的內(nèi)容很大，會一直處于等待狀態(tài)，維持住這個連接不斷開。如果攻擊者的“肉雞”持續(xù)建立這樣的連接，那么服務(wù)器上可用的資源將一點一點被占滿，從而導致服務(wù)器無法響應(yīng)正常用戶的請求。

深信服AD應(yīng)用交付系列產(chǎn)品可防護網(wǎng)絡(luò)層和應(yīng)用層的DDoS攻擊(如SYN-Flood, Smurf, SSL-Flood,CC攻擊,HTTP慢速攻擊等)，那么為什么深信服要在應(yīng)用交付上實現(xiàn)DDoS攻擊防護的功能呢?

應(yīng)用交付通常部署于服務(wù)器的前端，將業(yè)務(wù)穩(wěn)定、安全、高效的交付給用戶。在全代理模式下，它可以實現(xiàn)客戶端和服務(wù)端的網(wǎng)絡(luò)隔離，使二者不會建立網(wǎng)絡(luò)連接。業(yè)務(wù)訪問的所有流量都會先交給應(yīng)用交付設(shè)備，由應(yīng)用交付設(shè)備進行分發(fā)。黑客攻擊的“服務(wù)器”實際上就是對外發(fā)布業(yè)務(wù)的應(yīng)用交付設(shè)備，這就要求它具備一定的安全防護能力，其本身性能也非常強大，可以抵擋住DDoS泛洪攻擊的大流量。深信服應(yīng)用交付開發(fā)團隊針對主流的DDoS攻擊進行了深入研究，結(jié)合應(yīng)用交付自身的特點，在應(yīng)用交付設(shè)備上實現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層DDoS攻擊防護，與WEB服務(wù)器漏掃等安全功能呼應(yīng)，為客戶的對外業(yè)務(wù)保駕護航。