HTTP 洪水攻擊是一種大規(guī)模分布式拒絕服務 (DDoS)?攻擊，旨在利用?HTTP 請求使目標服務器不堪重負。目標因請求而達到飽和，且無法響應正常流量后，將出現拒絕服務，拒絕來自實際用戶的其他請求。

HTTP 洪水攻擊的工作原理

HTTP 洪水攻擊是“第 7 層”DDoS 攻擊的一種。第 7 層是?OSI 模型的應用程序層，指的是 HTTP 等互聯網協議。HTTP 是基于瀏覽器的互聯網請求的基礎，通常用于加載網頁或通過互聯網發(fā)送表單內容。緩解應用程序層攻擊特別復雜，因為惡意流量和正常流量很難區(qū)分。

為了獲得最大效率，惡意行為者通常會利用或創(chuàng)建僵尸網絡，以最大程度地擴大攻擊的影響。通過利用感染了惡意軟件的多臺設備，攻擊者可以發(fā)起大量攻擊流量來進行攻擊。

HTTP 洪水攻擊有兩種：

1. HTTP GET 攻擊?– 在這種攻擊形式下，多臺計算機或其他設備相互協調，向目標服務器發(fā)送對圖像、文件或其他資產的多個請求。當目標被傳入的請求和響應所淹沒時，來自正常流量源的其他請求將被拒絕服務。
2. HTTP POST 攻擊?– 一般而言，在網站上提交表單時，服務器必須處理傳入的請求并將數據推送到持久層（通常是數據庫）。與發(fā)送 POST 請求所需的處理能力和帶寬相比，處理表單數據和運行必要數據庫命令的過程相對密集。這種攻擊利用相對資源消耗的差異，直接向目標服務器發(fā)送許多 POST 請求，直到目標服務器的容量飽和并拒絕服務為止。

如何防護 HTTP 洪水攻擊？

如前所述，緩解第 7 層攻擊非常復雜，而且通常要從多方面進行。一種方法是對發(fā)出請求的設備實施質詢，以測試它是否是機器人，這與在線創(chuàng)建帳戶時常用的 CAPTCHA 測試非常相似。通過提出 JavaScript 計算挑戰(zhàn)之類的要求，可以緩解許多攻擊。

其他阻止 HTTP 洪水攻擊的途徑包括使用?Web 應用程序防火墻 (WAF)、管理 IP 信譽數據庫以跟蹤和有選擇地阻止惡意流量，以及由工程師進行動態(tài)分析。

目前，國內互聯網公司很多都提供HTTP 洪水攻擊防御服務，比如百度云加速CDN就提供這類防御服務，如有需要的可以咨詢主機吧。