我們都知道近年來網(wǎng)絡攻擊的數(shù)量和頻率急劇上升，針對Web應用程序的DDoS海嘯攻擊就是其中增長非常迅速的一個種類。過去常見的HTTP/S洪水攻擊正在大范圍的轉變?yōu)楦y對付的Web DDoS海嘯攻擊，每個人都應該提前做好被攻擊的準備并采取適當?shù)谋Ｗo措施。

哪些可以歸類為 Web DDoS 海嘯攻擊？

要了解Web DDoS海嘯攻擊（以及一般的 HTTP洪水攻擊），首先有必要了解這些攻擊的所涉及的4個維度：攻擊量、持續(xù)時間、使用的僵尸網(wǎng)絡的特征以及攻擊達成方式。

1攻擊量

在過去的幾個月中，各種第三方組織都觀察到了若干次攻擊量達到數(shù)百萬次RPS（每秒請求）的HTTPS Flood 攻擊。其中一些大規(guī)模的攻擊甚至達到了數(shù)千萬RPS。這些巨型RPS攻擊級別代表了極端的 HTTPS 洪水，而且大容量的RPS攻擊數(shù)量還在不斷增長。我們有理由相信，地球上幾乎所有 Web 應用程序、Web 服務或任何其他在線資產(chǎn)都可能成為這波大規(guī)模 Web DDoS 海嘯攻擊的目標！Web DDoS 海嘯防護的需求確實是我們行業(yè)的“必備”需求。

Web DDoS 海嘯的興起不僅極大地影響了在線資產(chǎn)所有者，還極大地影響了WAF和DDoS 防護解決方案供應商，我們有責任保護客戶的在線資產(chǎn)和自己的基礎設施免受這些復雜的高RPS DDoS 攻擊。構建網(wǎng)絡海嘯攻擊檢測和緩解服務需要特別關注、專業(yè)知識和對適當基礎設施的大量投資。目標是在實現(xiàn)實際的客戶保護之前，消除保護基礎設施因攻擊的大量流量而不堪重負和飽和的情況。只有高容量的 L7 實體（網(wǎng)絡代理等）以及高度架構和堅固耐用的保護基礎設施，才能成功應對如此大量的攻擊量。只有在DDoS和L7 AppSec保護方面技術精湛且經(jīng)驗豐富的供應商（比如火傘云）才能滿足Web DDoS 海嘯新時代所產(chǎn)生的L7基礎設施和攻擊緩解要求。

2攻擊持續(xù)時間

Web DDoS 海嘯攻擊可能持續(xù)幾秒到幾小時或者幾天不等。雖然一些臭名昭著的超高RPS（數(shù)百萬）攻擊通常持續(xù)不到一分鐘，但最近的其他Web DDoS海嘯攻擊也有不少持續(xù)了幾分鐘或幾個小時，火傘云的客戶也有數(shù)起經(jīng)歷過持續(xù)數(shù)小時的海嘯襲擊。

除了持續(xù)時間之外，海嘯攻擊的強度也急劇上升，在多數(shù)情況下，攻擊會在不到10秒的時間內瞬間爆發(fā)到“全力”，然后就停留在那里。人們可以想象一個未受保護的網(wǎng)站在高流量期間突然在不到10秒的時間內躍升至50-100萬RPS的結果：該網(wǎng)站將關閉并且對合法用戶沒有反應，客戶不得不轉向另一個提供商來獲取他們所需的服務。

抵御海嘯襲擊不是一件容易的任務，它需要高度的DDoS和AppSec保護專業(yè)知識。每個Web DDoS 海嘯防護基礎設施都必須能夠應對和吸收傳入負載的急劇增加，準備好在不同的時間段內保持此容量，并以高效且經(jīng)濟高效的方式完成這一切，而且這都需要在保證客戶在線資產(chǎn)安全啟動和運行的同時完成。

3所使用的僵尸網(wǎng)絡的特征

以下是火傘云總結的主要與攻擊檢測和緩解相關的維度：

首先，我們應該考慮僵尸網(wǎng)絡的規(guī)模。最主要指標是發(fā)起攻擊的IP數(shù)量，使用的攻擊者IP數(shù)量通常可以從數(shù)千到數(shù)十萬不等。IP 可以分布在全球各地，也可以分配給眾多自治系統(tǒng)編號 (ASN)，這些編號通常由服務提供商擁有，用于標識互聯(lián)網(wǎng)上存在的網(wǎng)絡。因此，在 Web DDoS 海嘯期間，每個攻擊者的 IP 都可以生成相似的、更高或更低的RPS水平，合法客戶端的平均RPS水平也是如此。因此，將流量最大的IP（即在某個時間范圍內收到的RPS最高的客戶端IP）視為攻擊者作為緩解技術（包括提供其他傳統(tǒng)緩解方法，例如具有高RPS級別的速率限制源 IP）可能會產(chǎn)生不必要的誤報。在火傘云看到的一些現(xiàn)實案例中，攻擊者從大規(guī)模僵尸網(wǎng)絡中生成Web DDoS海嘯攻擊，且每個單獨的機器人都只會生成非常低的 RPS 量，以逃避用于緩解此類攻擊的簡單方法。

Web DDoS海嘯也可能源自各種類型的源可能分配或擁有的源IP。最常見的攻擊可能是攻擊者的IP屬于公共代理的攻擊，例如開放代理、匿名代理或開放VPN。攻擊者通常使用這種方式來混淆他們的真實身份。此外，攻擊者的 IP 可能屬于合法用戶（即屬于無辜、不知情的用戶的家庭路由器）、云提供商IP、網(wǎng)絡托管提供商IP 和受感染的物聯(lián)網(wǎng)設備。攻擊者主要使用這些不同類型的IP來混淆自己，以免被識別和簡單地阻止。因此，如果僅使用威脅情報信息根據(jù)IP地址從屬關系來緩解攻擊，則不會檢測到并緩解攻擊。當攻擊來自合法的住宅 IP（大多數(shù)在線服務的合法客戶端）時，威脅情報源資源庫就無濟于事了。僅基于 IP 地址情報構建緩解策略可能會產(chǎn)生不必要的漏報。

而且為了構建海嘯級的 HTTP 攻擊，不同的黑客團體有時會合作并同時攻擊單個受害者。因此，一次攻擊中可能會出現(xiàn)多種類型的攻擊IP地址和大量RPS，這使得處理起來變得復雜且具有挑戰(zhàn)性。

4攻擊達成方式

最開始，Web DDoS 海嘯攻擊是由一個簡單的HTTP請求組成的，該攻擊是由大量傳輸或復制的單個事務構建。例如，它可以是對“/”的簡單HTTP GET以及一組非常基本的HTTP 標頭，例如Host和 Accept。一方面，這些交易看起來合法，因此傳統(tǒng)WAAF或其他現(xiàn)有手段不太可能緩解攻擊。另一方面，緩解實體可能能夠簡單地阻止或過濾此特定的單個事務，然后再將其傳遞到受保護組織的在線資產(chǎn)。在這種情況下，攻擊將會減輕。然而，如今 Web DDoS海嘯變得更加復雜，攻擊者通過構建更復雜和真實的交易來避免這種簡單的檢測和緩解。

此外，他們嚴重依賴隨機化。網(wǎng)絡海嘯攻擊中出現(xiàn)了各種各樣的攻擊交易結構。攻擊者制作更真實、更合法的交易，其中包含一組“看起來合法”的查詢參數(shù)、更多HTTP標頭、用戶代理和引用標頭、Web Cookie 等。攻擊請求具有各種HTTP方法（POST、PUT、HEAD等），并定向到受保護應用程序內的多個路徑。攻擊者生成的交易的許多屬性是連續(xù)隨機的，有時是基于單個交易的。使用這種高水平的隨機化使得簡單的緩解措施變得不切實際。海嘯 DDoS攻擊表現(xiàn)為合法的流量請求，并且不斷隨機化。因此，當旨在完美緩解時，沒有簡單的、預定義的簽名或基于規(guī)則的機制來提供攻擊緩解，因為請求看起來合法并且不表明惡意意圖。

使這些攻擊如此難以緩解的另一個原因是，即便加密的流量被解密，它看起來仍然是合法的。Web DDoS 海嘯攻擊者利用大量復雜的規(guī)避技術來繞過傳統(tǒng)的應用程序保護。為了增加這些攻擊的復雜性，攻擊者在攻擊期間改變其攻擊模式或同時使用多個攻擊請求結構。當攻擊由多個精心策劃的僵尸網(wǎng)絡發(fā)起且攻擊者的多種策略同時出現(xiàn)時，情況會變得更加復雜。由于所有這些攻擊者策略，Web DDoS 海嘯攻擊可能包含數(shù)百萬個不同的交易，且所有這些交易看起來都是合法的。如果不將這些攻擊視為一種零日攻擊，并專門使用一組預定義的過濾器來緩解攻擊，則可能會導致緩解過程中出現(xiàn)大量不必要的漏報。想象一下假如有一次高達300萬次RPS攻擊，其中誤報率為1%；也一樣會帶來許多在線資產(chǎn)無法承受流量而泄漏的影響。

抵御Web DDoS海嘯攻擊的合適選項

了解Web DDoS 海嘯攻擊的不同維度很重要，但更重要的是了解如何保護您的組織免受此類攻擊。為了防范這些攻擊，組織需要一種能夠快速實時適應攻擊活動的解決方案。常規(guī)的本地化或基于云的DDoS和 WAAF解決方案無法做到這一點：因為這些威脅是動態(tài)的，以至于它們的頻率無法預測，攻擊向量是隨機的，源IP和其他參數(shù)會發(fā)生變化，并且它們承受這些變化的能力可以長期保持。

只有具有自學習和自動調整功能的基于行為的算法才能檢測和減輕這些攻擊。這也是為什么我們推薦您把火傘云納入您的選項，我們行業(yè)領先的應用程序保護產(chǎn)品和解決方案的開發(fā)始終牢記一個目標：在攻擊壓垮基礎設施之前檢測并阻止攻擊，從而確保客戶的安全。