DDoS攻擊已經(jīng)成為一種非常多見(jiàn)的攻擊方式，其攻防技術(shù)都已經(jīng)非常成熟。近幾年來(lái)，DDoS攻擊又演變出了更多的花樣，攻擊的規(guī)模也在逐漸擴(kuò)大，特別是針對(duì)應(yīng)用層的DDoS攻擊，給用戶帶來(lái)了新的網(wǎng)絡(luò)安全威脅。那么，什么是應(yīng)用層DDoS攻擊?與傳統(tǒng)的網(wǎng)絡(luò)層DDoS攻擊又有什么區(qū)別呢?

網(wǎng)絡(luò)層DDoS 攻擊是利用了TCP 協(xié)議“先天”的缺陷。兩臺(tái)機(jī)器通信時(shí)要先進(jìn)行三次握手，首先是客戶機(jī)發(fā)出一個(gè)請(qǐng)求 (SYN) ，服務(wù)器收到該請(qǐng)求后，填寫會(huì)話信息表 (TCB，保存在內(nèi)存中)并且向客戶機(jī)反饋一個(gè)回應(yīng)包 (SYN-ACK) ，此時(shí)該連接處于半開(kāi)連接狀態(tài)，正常情況下，客戶端會(huì)回應(yīng)ACK包，三次握手完成。如果服務(wù)器沒(méi)有收到客戶機(jī)的 ACK 信息包，會(huì)隔一段時(shí)間再發(fā)送一次回應(yīng)包 SYN-ACK，這樣經(jīng)過(guò)多次重試后，客戶機(jī)還沒(méi)有回應(yīng)的話，服務(wù)器才會(huì)關(guān)閉會(huì)話并從 TCB 中刪除。

怎么樣，看出問(wèn)題了嗎?如果有人想攻擊服務(wù)器，很簡(jiǎn)單，攻擊端收到服務(wù)器的SYN-ACK包以后，不再回應(yīng)ACK包，服務(wù)器會(huì)等待一段時(shí)間才會(huì)釋放TCB。攻擊者控制“肉雞”同時(shí)向服務(wù)器發(fā)起大量的請(qǐng)求 (SYN) ，并且本身拒絕發(fā)送 SYN-ACK 回應(yīng)，服務(wù)器的 TCB 將會(huì)很快超出正常負(fù)荷，服務(wù)器無(wú)法響應(yīng)正常用戶的請(qǐng)求，最終導(dǎo)致業(yè)務(wù)中斷。

這種利用TCP協(xié)議缺陷的DDoS攻擊，可以用“簡(jiǎn)單粗暴”這個(gè)詞來(lái)形容，其特征比較明顯，非常容易被識(shí)別，目前針對(duì)它的防護(hù)技術(shù)也已經(jīng)較為成熟。

同樣的，應(yīng)用層協(xié)議也有著自己的不足，攻擊者也正是利用了一點(diǎn)。應(yīng)用層協(xié)議較為復(fù)雜且形式多樣，應(yīng)用層DDoS攻擊并不具備傳統(tǒng)攻擊的特征，一般網(wǎng)絡(luò)安全設(shè)備很難檢測(cè)到，其破壞力也遠(yuǎn)大于傳統(tǒng)的網(wǎng)絡(luò)層DDoS攻擊。

以HTTP協(xié)議為例，常見(jiàn)的HTTP DDoS攻擊主要有兩種，CC攻擊和慢速攻擊。CC攻擊是一種針對(duì)WEB服務(wù)器的Flood(泛洪)攻擊，即HTTP Get Flood，它以消耗服務(wù)器的帶寬資源為目的。攻擊者操控大量“肉雞”對(duì)服務(wù)器發(fā)送大量的HTTP Request，導(dǎo)致服務(wù)器帶寬資源耗盡，無(wú)法響應(yīng)正常用戶的請(qǐng)求。

由于很多網(wǎng)站使用動(dòng)態(tài)頁(yè)面的技術(shù)，通常一次GET 請(qǐng)求可能引發(fā)后臺(tái)數(shù)據(jù)庫(kù)的查詢等動(dòng)作，當(dāng)HTTP Get 數(shù)量增加到一定程度時(shí)，數(shù)據(jù)庫(kù)也將不堪重負(fù)，導(dǎo)致動(dòng)態(tài)頁(yè)面無(wú)法響應(yīng)。從攻擊手法上來(lái)看，CC攻擊與傳統(tǒng)網(wǎng)絡(luò)層DDoS攻擊類似，都是發(fā)送大量的請(qǐng)求，耗盡服務(wù)器帶寬資源，只是二者利用的協(xié)議不同。

另一種常見(jiàn)的攻擊是慢速攻擊，它是以消耗服務(wù)器的計(jì)算資源為目的，它并不需要“簡(jiǎn)單粗暴”的發(fā)送大量的數(shù)據(jù)包，只發(fā)送很少的數(shù)據(jù)即可給服務(wù)器造成致命的打擊。

攻擊者跟服務(wù)器建立連接時(shí)，先指定一個(gè)比較大的Content-Length，然后以非常低的速度發(fā)包，比如1-10s 發(fā)一個(gè)字節(jié)，服務(wù)器認(rèn)為客戶端要發(fā)送的內(nèi)容很大，會(huì)一直處于等待狀態(tài)，維持住這個(gè)連接不斷開(kāi)。如果攻擊者的“肉雞”持續(xù)建立這樣的連接，那么服務(wù)器上可用的資源將一點(diǎn)一點(diǎn)被占滿，從而導(dǎo)致服務(wù)器無(wú)法響應(yīng)正常用戶的請(qǐng)求。

深信服AD應(yīng)用交付系列產(chǎn)品可防護(hù)網(wǎng)絡(luò)層和應(yīng)用層的DDoS攻擊(如SYN-Flood, Smurf, SSL-Flood,CC攻擊,HTTP慢速攻擊等)，那么為什么深信服要在應(yīng)用交付上實(shí)現(xiàn)DDoS攻擊防護(hù)的功能呢?

應(yīng)用交付通常部署于服務(wù)器的前端，將業(yè)務(wù)穩(wěn)定、安全、高效的交付給用戶。在全代理模式下，它可以實(shí)現(xiàn)客戶端和服務(wù)端的網(wǎng)絡(luò)隔離，使二者不會(huì)建立網(wǎng)絡(luò)連接。業(yè)務(wù)訪問(wèn)的所有流量都會(huì)先交給應(yīng)用交付設(shè)備，由應(yīng)用交付設(shè)備進(jìn)行分發(fā)。黑客攻擊的“服務(wù)器”實(shí)際上就是對(duì)外發(fā)布業(yè)務(wù)的應(yīng)用交付設(shè)備，這就要求它具備一定的安全防護(hù)能力，其本身性能也非常強(qiáng)大，可以抵擋住DDoS泛洪攻擊的大流量。深信服應(yīng)用交付開(kāi)發(fā)團(tuán)隊(duì)針對(duì)主流的DDoS攻擊進(jìn)行了深入研究，結(jié)合應(yīng)用交付自身的特點(diǎn)，在應(yīng)用交付設(shè)備上實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層DDoS攻擊防護(hù)，與WEB服務(wù)器漏掃等安全功能呼應(yīng)，為客戶的對(duì)外業(yè)務(wù)保駕護(hù)航。