应用层DDoS攻击的剖析与防御 1.Net-DDoS进犯与App-DDoS进犯 按进犯所对准的网络层次可以把DDoS进犯分为：网络层DDoS（Net-DDoS）进犯和App-DDoS进犯。Net-DDoS进犯首要是运用了现有低层（包罗IP层和TCP层）协议的缝隙来发起进犯。典型的进犯办法是：运用假造IP地址的进犯节点向方针主机发送很多进犯分组（TCP、ICMP、UDP等分组），运用TCP的三次握手机制使方针效劳器为保护一个十分大的半敞开衔接列表而消耗十分多的CPU和内存资源，结尾因为仓库溢出而招致系统溃散无法为正常用户供给效劳。 App-DDoS进犯虽然仍是运用洪水式的进犯办法，但与Net-DDoS进犯纷歧样的是它运用了高层协议，例如HTTP。因为高层协议的多样性与杂乱性，App-DDoS进犯很难被检测到，而且高层协议通常具有较强的功用，可以完成多种杂乱的功用，因而App-DDoS进犯所发作的损坏力远大于传统的Net-DDoS进犯。App-DDoS进犯有以下两种进犯办法：带宽耗尽型和主机资源耗尽型。带宽耗尽型（例如HTTPFlooding）的方针是颠末很多合法的HTTP恳求占用方针网络的带宽，使正常用户无法进行Web拜访。进犯的详细完成可以有多种纷歧样的办法。进犯者可以颠末单线程或多线程向方针Web效劳器发送很多的HTTP恳求，这些恳求可以随机生成也可以颠末阻拦用户的正常恳求序列然后重放发作。恳求内容可所以Web效劳器上的正常页面（例如主页），也可所以重定向页面、头信息或某些过错文档，更杂乱的可所以对动态内容、数据库查询的恳求。进犯者乃至可以仿照搜索引擎选用递归办法，即从一个给定的HTTP链接开端，然后以递归的办法顺着指定网站上一切的链接拜访，这也叫爬虫下载（spidering）。主机资源耗尽型与HTTPFlooding纷歧样，其意图是为了耗尽方针主机的资源（例如：CPU、存储器、Socket等）。进犯者用少数的HTTP恳求促进效劳器回来大文件（例如图画、视频文件等），或促进效劳器运转一些杂乱的脚本顺序（例如杂乱的数据处置、暗码核算与验证等）。这种办法不需求很高的进犯速率就可以敏捷耗尽主机的资源，而且更具有隐蔽性。 与传统根据低层协议的DDoS进犯比拟，App-DDoS进犯具有以下特色： 首要，它运用了高层协议（HTTP）完成。许多根据Web的运用（例如HTTP或HTTPS）颠末敞开的TCP端口（如TCP端口80与443）为客户供给效劳，因而低层的检测系统很难判别颠末这些敞开端口的用户恳求是来自于正常用户仍是来自于进犯者。这招致对准Web运用的App-DDoS进犯恳求可以顺畅穿越根据低层协议的检测系统，颠末敞开的TCP80端口直接抵达Web效劳器或网络数据库（见图1）。 图1App-DDoS进犯流 其次，因为App-DDoS进犯是以高层信息流（HTTP流）作为进犯手法，其完成是以正常TCP衔接和IP分组为条件，因而构成进犯的HTTP流不具备传统DDoS进犯的标志性特征（例如：TCP半敞开衔接和变形IP数据报等），而且它无法选用虚伪IP地址（虚伪IP地址无法树立有用的TCP衔接）的办法。越来越多的主机（包罗小我主机和公司大型主机）全天候地衔接互联网，为这种进犯供给了有利的条件和环境。 此外，因为高层的效劳和协议差异很大，App-DDoS进犯可以有多种纷歧样的办法，而且一个简略的HTTP恳求往往可以触发效劳器履行一系列杂乱的操作，例如：数据库查询、暗码验证等，所以颠末很多傀儡机向方针发送海量分组的进犯办法并不是App-DDoS进犯的专一挑选，它可以用低速率的恳求、少数的进犯节点完成传统DDoS的进犯效果，这给现有的检测带来了很大艰难。2004年的蠕虫病毒“Mydoom”及其后来的变体“Mytob”就是典型的HTTPFlooding进犯案例，而且也显示出当前DDoS进犯的开展趋势。该病毒选用了常用的Web效劳器恳求技能，颠末仿照阅览器IE的恳求文本，使Web效劳器难以区别正常的和反常的HTTP恳求，然后进步了进犯的损坏才干。因为一切的进犯恳求都是由合法分组构成，不具备传统DDoS进犯流的特征，因而进犯恳求顺畅穿越一切根据IP层和TCP层的检测系统，结尾招致SCO和微软等闻名网站的效劳器溃散。 2.DDoS的进犯环境 DDoS进犯地点的布景环境可以分为：平稳布景流环境和突发流环境。平稳布景流是指那些流量随时刻改变不大的网站，许多通常网站的流量都具有平稳的特性。突发流是现代网络流的一种新表象，近几年开端遭到网络研讨者的重视。关于Web运用来说，突发流是指海量的正常Web用户一起拜访某一特别的网站，然后招致Web效劳器的拜访量和关联网络的流量发作宏大的动摇。典型的突发流案例包罗：1998年世界杯Web网站，2000年悉尼奥运会网站，20