尽管难以彻底防止 HTTP 泛洪攻击,但实施强有力的安全措施能够显著降低攻击影响和遭受此类攻击的可能性。
HTTP 或 HTTPS 泛洪攻击是一种分布式拒绝服务 (DDoS) 攻击,它通过大量 HTTP GET 或 POST 请求让服务器、网站或 Web 应用程序不堪重负,导致其运行速度缓慢或发生崩溃。由于这些请求会耗尽服务器的处理能力和带宽,因此该设备会变得速度缓慢或者发生崩溃,进而拒绝为合法用户和流量提供服务。
什么是 DDoS 攻击?
DDoS 攻击是一种以服务器、网站或网络为目标的网络攻击,它会利用大量流量造成攻击目标不堪重负,从而耗尽其资源并使其无法供合法流量和用户使用。与使用单个来源对目标进行泛洪攻击的传统拒绝服务 (DoS) 攻击不同,DDoS 攻击依赖的是 僵尸网络。僵尸网络是数千乃至数百万台感染了木马程序等恶意软件,并受恶意攻击者控制的计算机或物联网设备。为了执行 DDoS 攻击,攻击者会指示被入侵的设备向目标服务器或网站发送大量请求。由于这些请求来自于很多不同的 IP 地址,使 DDoS 攻击变得难以检测和抵御。
HTTP 泛洪攻击的工作原理是什么?
HTTP 泛洪攻击是应用程序层攻击,它会利用加载网页和通过互联网发送内容时使用的 HTTP 互联网协议。为了与应用程序或服务器进行通信,网络浏览器会发送 GET 或 POST HTTP 请求。GET 请求旨在检索用于在浏览器中渲染网页的标准静态内容,例如图片。POST 请求用于用户到服务器的动态交互。
为何 HTTP 泛洪 DDoS 攻击难以检测?
其他类型的 DDoS 攻击使用的格式错误的欺骗数据包或反射技术很容易被检测到,而 HTTP 泛洪攻击使用的是伪装成合法内容的标准 URL 请求。由于这些攻击需要的带宽比暴力破解攻击更少,因此它们通常在较长的一段时间内都不会被检测到,同时会对目标网站或服务器造成损害。检测和抵御 HTTP 泛洪攻击极具挑战性,因为难以将恶意请求与合法请求区分开来。
HTTP 泛洪 DDoS 攻击有哪些不同类型?
HTTP 泛洪 DDoS 攻击有两个主要类型:
HTTP GET 攻击。在 HTTP 泛洪 GET 攻击中,攻击者会向 Web 服务器发送大量 GET 请求。这些请求通常针对目标服务器中的图片、文件或其他形式的大量静态内容。由于服务器会尝试保持与这些请求的联系,因此最终会变得负荷过重,无法再对合法请求和有效流量做出响应。
HTTP POST 攻击。POST 请求通常包含发送到服务器进行处理的数据。POST 请求可能包含需要服务器端进行密集处理的参数,从而导致该服务器更快地耗尽其资源。
HTTP GET 攻击实施起来更容易,而 HTTP POST 攻击则会造成更大的损害。
如何抵御 HTTP 泛洪攻击?
要抵御 HTTP 泛洪攻击,各企业可以组合部署多种网络安全最佳实践和技术,包括:
- 流量分析。安全团队可以监控流量,并将 IP 地址与 IP 声誉数据库中的数据进行比较,从而跟踪并拦截可能是 HTTP 泛洪攻击组成部分的异常活动。
- 渐进式安全挑战。JavaScript 计算挑战可以检测流量是否由爬虫程序生成。
- Web 应用程序防火墙 (WAF)。 WAF 可以部署 CAPTCHA 等各种技术和加密挑战,以检测 HTTP 泛洪攻击。
- 负载均衡器。负载均衡器可提供缓冲和多种连接管理技术,以防止 HTTP GET 和 POST 请求影响 Web 服务器资源。
- 基于云的 DDoS 防护。部署用于 DDoS 防护的云端服务,让用户能够使用各种工具来识别可疑活动并快速做出响应。
- 提高 Web 应用程序服务器连接限制。通过增加可以处理的并发 HTTP 连接的数量,各企业有可能减少容易遭受 HTTP 泛洪攻击的漏洞。
- 实施速率限制。限制来自指定 IP 地址的传入请求数,也许能防止 DDoS 攻击。但是,基于速率的标准检测方法在检测 HTTP 泛洪攻击时可能无效,因为流量并未超过假定的阈值上限。
借助 Akamai 技术阻止 HTTP 泛洪攻击
Akamai 为全球大型企业提供安全的数字化体验。我们会让决策、应用程序和体验尽量靠近用户,同时竭力抵御攻击和威胁,使我们的客户及其网络能够做到快速、智能、安全。
我们的端到端 DDoS 和 DoS 防护解决方案可用作第一道防线。凭借专用边缘、分布式 DNS 和网络云抵御策略,我们的反 DDoS 技术可防止附带损害和单点故障,为我们的客户提供更高的恢复能力、专项净化容量和更高的抵御质量。
App & API Protector 提供了一套全面强大的保护措施,这些保护措施专为实现“以客户为中心”的自动化而构建。该解决方案不但提供了在当今环境中具有高度先进性的应用程序安全自动化机制,而且依然方便易用。这种新的自适应安全引擎加上多项卓越的核心技术,将 DDoS 防护、 API 安全、爬虫程序抵御和 WAF 整合到了一套简单易用的解决方案中。
Prolexic 可以实施高速、有效的大规模防御,以阻止 DDoS 攻击。Prolexic 为 DDoS 防御提供了零秒 SLA,可主动缩小攻击面,并根据网络流量情况自定义抵御控制措施,从而即时阻止攻击。全托管式 SOCC 可作为您现有网络安全计划的补充,通过业界公认的经验帮您改善解决问题的时间。
Edge DNS 借助规模庞大的边缘平台防范 DNS 中断,为企业提供有保障、值得信赖的不间断 DNS 可靠性。作为一款云端解决方案,Edge DNS 可确保全天候 DNS 可用性、更好的 DNS 响应度,还能够抵御规模庞大的 DDoS 攻击。
常见问题
如果您的网站遭遇异常流量高峰、加载速度缓慢或者出现不可用的情况,这可能是遭到 HTTP 泛洪攻击的迹象。通过监控服务器日志和利用安全工具,可以帮助检测此类攻击。
是的,即便是小型网站也容易遭受 HTTP 泛洪攻击。网络犯罪分子通常会攻击各种网站来实现其目标,而不会考虑其规模大小。
是的,HTTP 泛洪攻击并不合法,在很多司法管辖区都被视为网络犯罪行为。犯罪者如果被抓获,可能会面临严重的法律后果。
HTTP 泛洪攻击的频率各有不同,但它们是网络安全环境中一种普遍存在的威胁。网站和在线服务应始终做好抵御此类攻击的准备。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。