應(yīng)用層攻擊(Application-Layer Attacks):主要針對運(yùn)行7層協(xié)議上的應(yīng)用程序或服務(wù)����,可以說是最精密與隱蔽的攻擊,因?yàn)槟呐聝H使用一臺計算機(jī)以極低的速率產(chǎn)生攻擊流量也可以收到非常好的攻擊效果����。這點(diǎn)讓基于流量檢測的解決方案難以覺察。為了實(shí)時有效地檢測與緩解這類威脅����,我們需要在DDoS防護(hù)措施中添加在線或其他基于包檢測的組件。
據(jù)調(diào)研結(jié)果����,2014年容量耗盡攻擊(Volumetric Attack)的比例已經(jīng)增長至三分之二,而TCP狀態(tài)表耗盡與應(yīng)用層攻擊的比例有所下降����。然而,值得注意的是盡管更精密的應(yīng)用層攻擊的比例從24%跌落到17%����,但超過90%的受訪者聲稱收到過應(yīng)用層DdoS攻擊,2013年這個數(shù)字還是86%����。
攻擊者并不是只使用單一的攻擊向量,可能會對同一目標(biāo)同時應(yīng)用多種不同的攻擊技術(shù)����,導(dǎo)致防護(hù)者更難以招架����。分層防御可能是應(yīng)對多向量攻擊最好的解決方案����。在分層防御中,你可以提前做好應(yīng)對更接近目標(biāo)的隱蔽攻擊的措施����,然后在服務(wù)器供應(yīng)商或云基礎(chǔ)設(shè)施內(nèi)部處理攻擊的超大流量部分。
我們再來研究一下2014年應(yīng)用層攻擊所針對的服務(wù)����,HTTP和DNS服務(wù)并列第一,成為最受攻擊者歡迎的目標(biāo)����。近些年,HTTP一直是應(yīng)用層攻擊的頭號目標(biāo)����,而針對DNS的攻擊比2013年有了較大的增長����。調(diào)研結(jié)果中有趣的是受訪者中觀察到針對加密Web服務(wù)(HTTPS)應(yīng)用層攻擊的比例下降����,從2013年的54%下降到2014年的47%����。而下降的原因可能是反射/放大型DDoS攻擊的增長與“燕子攻擊行動(Operation Ababil)”結(jié)束共同造成的。其中����,燕子攻擊行動(Operation Ababil)發(fā)起大量針對加密Web服務(wù)的攻擊。
4.DDoS攻擊的檢測
在對威脅檢測調(diào)研中����,NetFlow分析工具仍然是最常用的威脅檢測工具,其次是防火墻日志����。這兩項(xiàng)所占比例幾乎與2013年持平。而受訪者中使用SNMP工具的比例從65%跌落到53%����。傳統(tǒng)上,諸如NetFlow技術(shù)可以查看3層協(xié)議與4層協(xié)議。然而����,一些路由器廠商通過私有的流擴(kuò)展與IPFix來提供對7層的可見性,從而把流技術(shù)的視野擴(kuò)展到應(yīng)用層����。與此同時,受訪者中正在使用7層協(xié)議流的比例����,從2013年的26%上升至2014年的55%。
