HTTP 洪水攻擊是一種大規(guī)模分布式拒絕服務(wù) (DDoS) 攻擊，旨在利用 HTTP 請求使目標(biāo)服務(wù)器不堪重負(fù)。目標(biāo)因請求而達(dá)到飽和，且無法響應(yīng)正常流量后，將出現(xiàn)拒絕服務(wù)，拒絕來自實(shí)際用戶的其他請求。

HTTP 洪水攻擊的工作原理

HTTP 洪水攻擊是“第 7 層”DDoS 攻擊的一種。第 7 層是 OSI 模型的應(yīng)用程序?qū)?，指的?HTTP 等互聯(lián)網(wǎng)協(xié)議。HTTP 是基于瀏覽器的互聯(lián)網(wǎng)請求的基礎(chǔ)，通常用于加載網(wǎng)頁或通過互聯(lián)網(wǎng)發(fā)送表單內(nèi)容。緩解應(yīng)用程序?qū)庸籼貏e復(fù)雜，因?yàn)閻阂饬髁亢驼Ａ髁亢茈y區(qū)分。

為了獲得最大效率，惡意行為者通常會利用或創(chuàng)建僵尸網(wǎng)絡(luò)，以最大程度地擴(kuò)大攻擊的影響。通過利用感染了惡意軟件的多臺設(shè)備，攻擊者可以發(fā)起大量攻擊流量來進(jìn)行攻擊。

HTTP 洪水攻擊有兩種：

1. HTTP GET 攻擊 – 在這種攻擊形式下，多臺計算機(jī)或其他設(shè)備相互協(xié)調(diào)，向目標(biāo)服務(wù)器發(fā)送對圖像、文件或其他資產(chǎn)的多個請求。當(dāng)目標(biāo)被傳入的請求和響應(yīng)所淹沒時，來自正常流量源的其他請求將被拒絕服務(wù)。
2. HTTP POST 攻擊 – 一般而言，在網(wǎng)站上提交表單時，服務(wù)器必須處理傳入的請求并將數(shù)據(jù)推送到持久層（通常是數(shù)據(jù)庫）。與發(fā)送 POST 請求所需的處理能力和帶寬相比，處理表單數(shù)據(jù)和運(yùn)行必要數(shù)據(jù)庫命令的過程相對密集。這種攻擊利用相對資源消耗的差異，直接向目標(biāo)服務(wù)器發(fā)送許多 POST 請求，直到目標(biāo)服務(wù)器的容量飽和并拒絕服務(wù)為止。

如何防護(hù) HTTP 洪水攻擊？

如前所述，緩解第 7 層攻擊非常復(fù)雜，而且通常要從多方面進(jìn)行。一種方法是對發(fā)出請求的設(shè)備實(shí)施質(zhì)詢，以測試它是否是機(jī)器人，這與在線創(chuàng)建帳戶時常用的 CAPTCHA 測試非常相似。通過提出 JavaScript 計算挑戰(zhàn)之類的要求，可以緩解許多攻擊。

其他阻止 HTTP 洪水攻擊的途徑包括使用?Web 應(yīng)用程序防火墻 (WAF)、管理 IP 信譽(yù)數(shù)據(jù)庫以跟蹤和有選擇地阻止惡意流量，以及由工程師進(jìn)行動態(tài)分析。

目前，國內(nèi)互聯(lián)網(wǎng)公司很多都提供HTTP 洪水攻擊防御服務(wù)，比如百度云加速CDN就提供這類防御服務(wù)，如有需要的可以咨詢主機(jī)吧。