應(yīng)用層攻擊(Application-Layer Attacks):主要針對(duì)運(yùn)行7層協(xié)議上的應(yīng)用程序或服務(wù),可以說(shuō)是最精密與隱蔽的攻擊��,因?yàn)槟呐聝H使用一臺(tái)計(jì)算機(jī)以極低的速率產(chǎn)生攻擊流量也可以收到非常好的攻擊效果�����。這點(diǎn)讓基于流量檢測(cè)的解決方案難以覺察。為了實(shí)時(shí)有效地檢測(cè)與緩解這類威脅�����,我們需要在DDoS防護(hù)措施中添加在線或其他基于包檢測(cè)的組件����。
據(jù)調(diào)研結(jié)果����,2014年容量耗盡攻擊(Volumetric Attack)的比例已經(jīng)增長(zhǎng)至三分之二,而TCP狀態(tài)表耗盡與應(yīng)用層攻擊的比例有所下降�����。然而���,值得注意的是盡管更精密的應(yīng)用層攻擊的比例從24%跌落到17%�,但超過(guò)90%的受訪者聲稱收到過(guò)應(yīng)用層DdoS攻擊����,2013年這個(gè)數(shù)字還是86%。
攻擊者并不是只使用單一的攻擊向量�,可能會(huì)對(duì)同一目標(biāo)同時(shí)應(yīng)用多種不同的攻擊技術(shù),導(dǎo)致防護(hù)者更難以招架。分層防御可能是應(yīng)對(duì)多向量攻擊最好的解決方案��。在分層防御中��,你可以提前做好應(yīng)對(duì)更接近目標(biāo)的隱蔽攻擊的措施�����,然后在服務(wù)器供應(yīng)商或云基礎(chǔ)設(shè)施內(nèi)部處理攻擊的超大流量部分���。
我們?cè)賮?lái)研究一下2014年應(yīng)用層攻擊所針對(duì)的服務(wù)����,HTTP和DNS服務(wù)并列第一�����,成為最受攻擊者歡迎的目標(biāo)�。近些年,HTTP一直是應(yīng)用層攻擊的頭號(hào)目標(biāo)�����,而針對(duì)DNS的攻擊比2013年有了較大的增長(zhǎng)�。調(diào)研結(jié)果中有趣的是受訪者中觀察到針對(duì)加密Web服務(wù)(HTTPS)應(yīng)用層攻擊的比例下降�����,從2013年的54%下降到2014年的47%����。而下降的原因可能是反射/放大型DDoS攻擊的增長(zhǎng)與“燕子攻擊行動(dòng)(Operation Ababil)”結(jié)束共同造成的����。其中,燕子攻擊行動(dòng)(Operation Ababil)發(fā)起大量針對(duì)加密Web服務(wù)的攻擊�����。
4.DDoS攻擊的檢測(cè)
在對(duì)威脅檢測(cè)調(diào)研中����,NetFlow分析工具仍然是最常用的威脅檢測(cè)工具�,其次是防火墻日志。這兩項(xiàng)所占比例幾乎與2013年持平���。而受訪者中使用SNMP工具的比例從65%跌落到53%��。傳統(tǒng)上����,諸如NetFlow技術(shù)可以查看3層協(xié)議與4層協(xié)議。然而����,一些路由器廠商通過(guò)私有的流擴(kuò)展與IPFix來(lái)提供對(duì)7層的可見性,從而把流技術(shù)的視野擴(kuò)展到應(yīng)用層���。與此同時(shí)�,受訪者中正在使用7層協(xié)議流的比例�,從2013年的26%上升至2014年的55%。
