巨大的应用层攻击可能会击败混合DDOS保护

安全研究人员最近观察到了使用一种可以使用的新技术观察到一个大型应用层分布式拒绝服务攻击，这些技术可以粘合DDOS防御，并且是用于Web应用程序运营商的事物的标志。

攻击，它针对中的中国彩票网站，从Imperva使用DDOS保护服务，达到8.7Gbps。在DDOS攻击经常通过100Gbps标记时，8.7Gbps可能看起来不大，但它实际上是为了应用层攻击前所未有。

DDOS攻击目标网络层或应用层。通过网络层攻击，目标是通过不同的网络协议发送恶意数据包，以便消耗所有目标的可用带宽，基本上堵塞其互联网管道。

但是，在应用层攻击中，也称为HTTP泛洪，目标是消耗计算资源 - CPU和RAM - Web服务器已处理处理请求。当达到其限制时，服务器将停止回答新请求，从而为合法客户端提供拒绝服务条件。

与网络层攻击不同，HTTP泛洪通常依赖于发送数据包的大小来进行损坏，而是对需要由目标Web应用程序处理的请求数。到目前为止，即使是最大的HTTP泛洪，它也产生了超过200,000个每秒请求，并未最终消耗超过500Mbps，因为每个请求的数据包大小非常小。

大多数公司构建其基础架构，以便应用程序每秒最多可以处理100个请求。据Imperva的研究人员称，除非这些应用程序受到识别和过滤的反DDOS服务，否则这些应用程序受到识别和过滤的伪造请求的防范服务。

防止网络层攻击通常涉及通过DDOS缓解提供商的网络基础架构路由到受保护网络的所有流量。提供商将擦除恶意数据包的流量，并仅将合法的网络转发给客户的网络。

另一方面，防止应用层攻击通常通过在Web服务器前面的客户自己的网络上坐在客户的自己的网络上进行保护。

这种混合DDOS保护 - 基于云的网络层防御与内部部署应用层防御相结合 - 当面对87Gbps最近遇到的Imperva最近遇到的大规模的HTTP洪水时，可能​​是无效的。

该攻击是从由感染的电脑组成的僵尸网络发起，该僵尸网络发送了纳多尔恶意软件，该计算机发送了模仿百度搜索引擎的Web爬虫的合法HTTP POST请求。请求，每秒163,000，尝试将随机生成的大文件上载到服务器，从而导致攻击异常大的带宽占地面积。

“只有在建立TCP连接之后只能过滤应用层流量，”Imperva研究人员在博客文章中表示。“除非您使用的是违规的缓解解决方案，否则这意味着将通过您的网络管道允许恶意请求，这是多GIG攻击的一个巨大问题。”

这意味着网络层DDOS缓解服务将让数据包通过旨在保护应用层的客户的上部前提设备进行检查。但是，这些数据包赢得了甚至到达设备，因为它们会产生更多的流量，而不是客户的互联网上行链路将能够处理。它喜欢隐藏在应用层后面的网络层攻击。

“授予，今天的一些较大的组织确实有一个10 GB的爆发上行，”Imperva研究人员说。“仍然，犯罪者可以通过启动更多请求或利用额外的僵尸网络资源来轻松颠簸攻击大小。因此，下一个攻击很容易达到12或15 Gbps，或更多。很少有非ISP组织拥有基础设施的大小，以减轻大小的内部大小的攻击。“

对于某些行业的组织，如金融，违反这种高带宽应用层攻击的简单答案。他们的Web应用程序需要使用HTTPS加密运输中的数据，他们需要终止他们自己的基础设施内的那些HTTPS连接，以符合关于保护财务和个人数据的监管要求。

因此，依赖于检查请求后的应用层DDOS保护也需要发生在他们自己的基础架构中。