應用程序?qū)庸舻墓ぷ髟?span id="hbpryxtos56" class="ez-toc-section-end">

大多數(shù) DDoS 攻擊的潛在有效性來自發(fā)起攻擊所需的資源量與吸收或防護攻擊所需的資源量之間的差異。盡管第 7 層攻擊也符合這種情況，但這種攻擊可以同時影響目標服務器和網(wǎng)絡，因此需要更少的總帶寬即可達到相同的破壞效果；應用程序?qū)庸粝母俚目値捈纯稍斐筛蟮钠茐摹?/p>

為了探討其原因，我們看一下發(fā)出請求的客戶端和響應請求的服務器之間的相對資源消耗差異。當用戶發(fā)送登錄在線帳戶（如 Gmail 帳戶）的請求時，用戶的計算機必須使用的數(shù)據(jù)和資源數(shù)量很少，并且與檢查登錄憑據(jù)、從數(shù)據(jù)庫加載相關用戶數(shù)據(jù)然后發(fā)回包含所請求網(wǎng)頁的響應這一過程中消耗的資源數(shù)量不成比例。

即使沒有登錄，多次收到客戶端請求的服務器也必須進行數(shù)據(jù)庫查詢或其他 API 調(diào)用以生成網(wǎng)頁。在許多設備將單個 Web 資產(chǎn)作為目標（例如在僵尸網(wǎng)絡攻擊期間）時，這種差異將進一步放大，使目標服務器不堪重負，從而對正常流量拒絕服務。在許多情況下，僅對 API 發(fā)起第 7 層攻擊就足以使服務脫機。

為什么應用程序?qū)?DDoS 攻擊難以阻止？

攻擊流量和正常流量很難區(qū)分，尤其是在應用程序?qū)庸簦ɡ缃┦W(wǎng)絡對受害服務器執(zhí)行?HTTP 洪水攻擊）的情況下。由于僵尸網(wǎng)絡中的每個機器人都發(fā)出看似合法的網(wǎng)絡請求，因此流量不是欺騙流量，而是看起來來自“正?！钡膩碓?。

應用程序?qū)庸粜枰环N自適應策略，包括根據(jù)特定規(guī)則集限制可能會定期波動的流量的能力。正確配置的?WAF?等工具可以緩解傳遞到源服務器的虛假通信量，從而大大減少 DDoS 嘗試的影響。

對于其他攻擊（如?SYN 洪水攻擊）或反射攻擊（如?NTP 放大攻擊），只要網(wǎng)絡本身具有足夠帶寬可以承載，就可以使用策略相當有效地丟棄流量。遺憾的是，大多數(shù)網(wǎng)絡無法承受 300Gbps 的放大攻擊，而可以正確路由并服務第 7 層攻擊可能產(chǎn)生的大量應用程序?qū)诱埱蟮木W(wǎng)絡更是鮮見。

哪些策略有助于防護應用程序?qū)庸簦?span id="hbpryxtos56" class="ez-toc-section-end">

一種方法是對發(fā)出網(wǎng)絡請求的設備實施質(zhì)詢，以測試它是否是機器人。用于完成此過程的測試類似于在線創(chuàng)建帳戶時常見的?CAPTCHA?測試。通過提出 JavaScript 計算挑戰(zhàn)之類的要求，可以緩解許多攻擊。

其他阻止 HTTP 洪水攻擊的途徑包括使用 Web 應用程序防火墻，通過 IP 信譽數(shù)據(jù)庫以及工程師的實時網(wǎng)絡分析來管理和篩選流量。