【CSDN編者按】DDoS攻擊近幾年來(lái)非經(jīng)常見(jiàn)溝通機製，許多知名的平臺(tái)網(wǎng)站都遭遇過(guò)好宣講。當(dāng)應(yīng)用層DDoS攻擊當(dāng)前已經(jīng)是很常見(jiàn)的攻擊類(lèi)型之時(shí)，對(duì)于程序員而言領先水平，有哪些必須把握的DDoS攻擊的知識(shí)點(diǎn)，更為 關(guān)鍵的是，如何進(jìn)行有效的防御實(shí)踐戰略布局？在「CSDN在線峰會(huì)——阿里云核心技術(shù)競(jìng)爭(zhēng)力」上事關全面，在系統(tǒng)、應(yīng)用狀態、網(wǎng)絡(luò)安全領(lǐng)域擁有14年研究經(jīng)驗(yàn)的阿里云資深安全專(zhuān)家葉敏深入分享了新型應(yīng)用層DDoS攻擊防御的很佳實(shí)踐技術節能，希望能夠?qū)λ屑夹g(shù)人有所啟發(fā)及裨益指導。

復(fù)制鏈接或點(diǎn)擊「閱讀原文」可免費(fèi)觀看葉敏老師分享視頻：

s://edu.csdn.net/course/play/28249/388361

作者|葉敏，阿里云資深安全專(zhuān)家

責(zé)編|唐小引

頭圖|CSDN下載自東方IC

出品|CSDN（ID：CSDNnews）

一提供深度撮合服務、應(yīng)用層DDoS攻擊介紹

DDoS攻擊長(zhǎng)久以來(lái)困擾著互聯(lián)網(wǎng)企業(yè)服務品質，從我們?cè)贫鼙O(jiān)測(cè)到的DDoS攻擊流量峰值來(lái)看的發生，很近幾年攻擊流量在大幅上漲組成部分，從2021年我們對(duì)外公布防御了全球很大的DDoS攻擊，453.8Gbps新的動力，到現(xiàn)在T級(jí)別的DDoS也變得很常見(jiàn)的過程中。

大流量DDoS攻擊存在了很多年，雖然攻擊流量一直在增長(zhǎng)廣泛關註，但是攻擊類(lèi)型變化不大促進進步，一直以SYNFlood、UDPFlood優勢領先、UDP反射攻擊為主迎來新的篇章。針對(duì)大流量攻擊已經(jīng)有了非常有效的防御手段，以前這種大流量攻擊碰到安全設(shè)備時(shí)推動並實現，就像進(jìn)了黑洞一樣被吞噬薄弱點，防御成功率很高，但是黑客們不服輸優化程度，他們向這個(gè)黑洞發(fā)起了新的挑戰(zhàn)積極性。

假如把攻擊流量偽裝成正常業(yè)務(wù)的流量，那么安全防御設(shè)備就很難區(qū)分出攻擊流量不斷豐富，這樣就能穿過(guò)防御設(shè)備攻擊到后端的應(yīng)用實施體系，這就是應(yīng)用層DDoS攻擊，也叫CC（ChallengeCollapsar）攻擊各有優勢，就是挑戰(zhàn)黑洞的意思效果較好。

二、應(yīng)用層DDoS的攻擊方式

應(yīng)用層DDoS很近幾年越來(lái)越受到黑客的青睞持續，從監(jiān)測(cè)到的數(shù)據(jù)來(lái)看等多個領域，應(yīng)用層DDoS攻擊在2021年就有翻倍增長(zhǎng)。

除了簡(jiǎn)單繞過(guò)防御設(shè)備高質量，還有一個(gè)重要的原因是應(yīng)用層DDoS攻擊更加高效提供了有力支撐，因?yàn)閼?yīng)用層的攻擊都要觸發(fā)上層應(yīng)用的處理邏輯，其中可能有數(shù)據(jù)庫(kù)查詢(xún)前景、遠(yuǎn)程API調(diào)用進一步意見、文件讀寫(xiě)，甚至有復(fù)雜的計(jì)算邏輯共享應用，所以這些流量會(huì)對(duì)服務(wù)端帶來(lái)更大的壓力服務水平。攻擊者精心挑選的帶有復(fù)雜邏輯的URL進(jìn)行攻擊最新，可以用很小的流量對(duì)應(yīng)用或數(shù)據(jù)庫(kù)產(chǎn)生巨大壓力。攻擊者不需要用到很大的帶寬處理方法，甚至對(duì)服務(wù)端只有小幅度的QPS上漲重要作用，讓檢測(cè)和防御都變得更有挑戰(zhàn)。

DDoS攻擊很典型的方式是僵尸網(wǎng)絡(luò)習慣，黑客控制了大量的傀儡主機(jī)（肉雞或bot）向目標(biāo)發(fā)起攻擊充足。這些傀儡主機(jī)可能是服務(wù)器、PC的積極性、手機(jī)或IoT設(shè)備綠色化發展。

在應(yīng)用層DDoS攻擊中，我們發(fā)現(xiàn)另一種借刀殺人的攻擊方式也很常見(jiàn)不久前，黑客在一些熱門(mén)的網(wǎng)頁(yè)中嵌入了帶有攻擊行為的JavaScript代碼用上了，當(dāng)訪問(wèn)者打開(kāi)這些網(wǎng)頁(yè)時(shí)，瀏覽器就循環(huán)對(duì)目標(biāo)發(fā)起攻擊能力建設，在一些停留時(shí)間比較長(zhǎng)的網(wǎng)頁(yè)關註，比如長(zhǎng)篇小說(shuō)或小電影網(wǎng)站，再加上不停的有新用戶(hù)訪問(wèn)無障礙，攻擊就會(huì)持續(xù)很長(zhǎng)時(shí)間連日來。雖然黑客沒(méi)有控制這些設(shè)備的權(quán)限，但是他借助這些正常用戶(hù)的瀏覽器實(shí)現(xiàn)了大規(guī)模的應(yīng)用層DDoS攻擊發揮重要帶動作用。

互聯(lián)網(wǎng)上/S服務(wù)占比很大意向，所以針對(duì)/S協(xié)議的應(yīng)用層DDoS攻擊也是很常見(jiàn)的，我們把它叫Flood文化價值。雖然都是發(fā)起請(qǐng)求形式，但是也有不同的方式，防御的難度也不一樣不斷完善。我們分析過(guò)很多DDoS木馬數字化，有些直接拼接報(bào)文內(nèi)容發(fā)送給服務(wù)端，這種通常攻擊手法比較單一基礎上，而且也沒(méi)有考慮Cookie和跳轉(zhuǎn)各領域，更不能執(zhí)行JavaScript。

進(jìn)一步我們發(fā)現(xiàn)有些木馬使用現(xiàn)成的庫(kù)保持競爭優勢，它對(duì)協(xié)議的支持更完善進行培訓，部分可以支持Cookie和跳轉(zhuǎn)，但沒(méi)有瀏覽器引擎所以不能執(zhí)行JavaScript完成的事情。

再進(jìn)一步我們發(fā)現(xiàn)帶有瀏覽器引擎的攻擊方式物聯與互聯，它其實(shí)就是個(gè)無(wú)窗口的瀏覽器，可以完整的支持Cookie改造層面、跳轉(zhuǎn)和JavaScript供給。我們也發(fā)現(xiàn)直接使用瀏覽器進(jìn)行攻擊的優勢與挑戰，有Windows平臺(tái)的惡意軟件中嵌入IE控件，移動(dòng)App中嵌入WebView控件解決方案，前面講到的熱門(mén)網(wǎng)頁(yè)嵌入JavaScript也是瀏覽器攻擊的例子趨勢。因?yàn)楣袅髁勘旧砭褪菫g覽器發(fā)起的請(qǐng)求，所以這種識(shí)別難度更大上高質量。

另外一種應(yīng)用層DDoS攻擊是針對(duì)SSL一站式服務，據(jù)統(tǒng)計(jì)全球超過(guò)85%的網(wǎng)頁(yè)已經(jīng)啟用S協(xié)議了，所以攻擊目標(biāo)范圍很大攻堅克難。我們知道建立一個(gè)SSL連接的開(kāi)銷(xiāo)是比較大的管理，有人分析過(guò)顯示，建立一個(gè)SSL連接服務(wù)端消耗的計(jì)算資源是客戶(hù)端的15倍雙向互動，所以假如攻擊者向目標(biāo)服務(wù)器發(fā)起大量SSL連接握手，就會(huì)對(duì)目標(biāo)服務(wù)器產(chǎn)生巨大的性能壓力設計能力。這里還有一個(gè)挑戰(zhàn)在于品牌，只有在SSL握手完成以后，才會(huì)傳輸應(yīng)用層的數(shù)據(jù)內(nèi)容更為一致，所以通過(guò)數(shù)據(jù)包內(nèi)容來(lái)檢測(cè)攻擊等形式，在這里就不適用。

前面講的很多攻擊方式跟/S業(yè)務(wù)有關(guān)系研究與應用，但是私有協(xié)議也是存在應(yīng)用層DDoS攻擊的飛躍，這個(gè)在很多游戲業(yè)務(wù)中比較常見(jiàn)。一些粗暴的攻擊方式是建立TCP連接后全面協議，發(fā)送隨機(jī)的垃圾數(shù)據(jù)重要部署，一般情況下服務(wù)端碰到非法數(shù)據(jù)會(huì)直接斷開(kāi)這個(gè)連接。

但是也有一些耐心的攻擊者工具，對(duì)正常的業(yè)務(wù)流量進(jìn)行抓包智慧與合力，然后用重放的方式對(duì)目標(biāo)發(fā)起攻擊，一方面是這種正常的流量會(huì)讓服務(wù)端執(zhí)行更多的業(yè)務(wù)邏輯計(jì)算重要的角色，比如登錄操作需求查詢(xún)數(shù)據(jù)庫(kù)開放要求，從而產(chǎn)生更大的攻擊效果，另一個(gè)方面是很難把重放流量跟正常用戶(hù)流量區(qū)分開(kāi)來(lái)也逐步提升，對(duì)檢測(cè)和防御有更大挑戰(zhàn)記得牢。

從這些攻擊方式中可以看到，應(yīng)用層DDoS攻擊不再是簡(jiǎn)單粗暴的大流量沖擊重要的作用，而是攻擊者精心構(gòu)造的數(shù)據(jù)包更多可能性，偽裝成正常流量繞過(guò)防御設(shè)備，攻擊后端的應(yīng)用和服務(wù)積極回應。

三重要性、傳統(tǒng)的應(yīng)用層DDoS防御方案

傳統(tǒng)的防御策略是頻率限制又進了一步，在源IP、URL精度進(jìn)行限速多元化服務體系，攔截高頻的訪問(wèn)者規劃。目前大多數(shù)CC防御產(chǎn)品都向用戶(hù)提供限速功能。但是頻率限速有很多缺陷深度，因?yàn)椴煌臉I(yè)務(wù)QPS差異很大帶動擴大，默認(rèn)的限速策略并不能適用于所有場(chǎng)景，比如如下所示開拓創新，第一個(gè)流量圖持續發展，峰值流量達(dá)到20萬(wàn)QPS，而第二個(gè)圖峰值才2萬(wàn)QPS促進善治，我們直覺(jué)上判定第二個(gè)是攻擊行為擴大，但是顯然這兩個(gè)業(yè)務(wù)不能用相同的限速策略的。

另一個(gè)問(wèn)題是發揮效力，當(dāng)一個(gè)網(wǎng)站訪問(wèn)量很大時(shí)新格局，一些脆弱的接口能承受的QPS又很低，全局的限速策略就不適用了安全鏈。粗暴的攔截IP還可能引起誤傷顯示，假如一個(gè)源IP訪問(wèn)量過(guò)大就把IP加黑名單，有可能將NAT出口IP拉黑真正做到，在大的公司科普活動、學(xué)校里有一個(gè)人發(fā)起攻擊就把整個(gè)出口IP攔截了會(huì)影響到正常用戶(hù)的訪問(wèn)。

所以應(yīng)用層DDoS防御有個(gè) 關(guān)鍵點(diǎn)是要做更精細(xì)化的策略強化意識，很多CC防御產(chǎn)品支持用戶(hù)自定義策略長期間，將指定的數(shù)據(jù)包丟掉。對(duì)于非協(xié)議的積極性，部分產(chǎn)品提供讓用戶(hù)配置報(bào)文過(guò)濾特征同期，對(duì)協(xié)議，多數(shù)安全產(chǎn)品都提供用戶(hù)配置各個(gè)維度的組合攔截條件使命責任。但是DDoS防御都是爭(zhēng)分奪秒的效果，這種人工分析和配置策略存在嚴(yán)重的滯后性。另外這種策略非常依靠安全專(zhuān)家經(jīng)驗(yàn)合規意識，以及對(duì)業(yè)務(wù)的了解密度增加。

一些自動(dòng)化的方案也在廣泛使用，大家可能碰到過(guò)訪問(wèn)一個(gè)網(wǎng)站時(shí)出現(xiàn)一個(gè)白屏頁(yè)面創新內容，上邊提示在做安全檢測(cè)機遇與挑戰，幾秒鐘后跳轉(zhuǎn)到目標(biāo)頁(yè)面，這個(gè)叫JavaScript挑戰(zhàn)善於監督。服務(wù)端向客戶(hù)端返回一個(gè)校驗(yàn)頁(yè)面集成技術，里邊包含了校驗(yàn)瀏覽器的JavaScript代碼就能壓製，假如用真實(shí)瀏覽器訪問(wèn)并且有正常用戶(hù)行為，就可以校驗(yàn)通過(guò)適應能力。它也有一些缺點(diǎn)更優美，就是只適用于網(wǎng)頁(yè)，假如是API接口防控，這種挑戰(zhàn)會(huì)讓正常業(yè)務(wù)中斷成效與經驗，另外也不適用于非協(xié)議。

人機(jī)校驗(yàn)方式也被用于應(yīng)用層DDoS防御堅實基礎，包括圖形驗(yàn)證碼或者需要用戶(hù)點(diǎn)擊稍有不慎、滑動(dòng)的校驗(yàn)方式，這種做法雖然很多場(chǎng)景在使用等地，但非常影響用戶(hù)體驗(yàn)最為顯著，而且它同樣存在缺陷，只能適用于網(wǎng)頁(yè)物聯與互聯，不能用于API接口和非協(xié)議穩定。

四、智能化的防御方案

1.縱深防御的架構(gòu)

這些方案都存在一定的缺陷供給，沒(méi)有一個(gè)方案是可以解決所有場(chǎng)景下的DDoS攻擊，所以我們?cè)诤芙鼛啄曜隽艘粋€(gè)縱深防御方案經驗分享，考慮到了各種不同的攻擊方式解決方案，我們從多個(gè)維度進(jìn)行了流量分析和防御，包括數(shù)據(jù)包內(nèi)容特征系列、訪問(wèn)行為作用、客戶(hù)端挑戰(zhàn)和智能化的限速，其中大量應(yīng)用了自動(dòng)化分析建模慢體驗，精細(xì)到每個(gè)業(yè)務(wù)著力增加、每個(gè)URL進(jìn)行訪問(wèn)基線分析，自動(dòng)發(fā)現(xiàn)其中的異常科技實力，并且基于阿里云的優(yōu)勢(shì)大規(guī)模應(yīng)用了威脅情報(bào)技術(shù)處理。以下圖中大部分新的防御手段都是為防御應(yīng)用層DDoS攻擊而設(shè)計(jì)的。

2.智能的自適應(yīng)方案

不管是默認(rèn)的防護(hù)模板在此基礎上，還是讓用戶(hù)去配置助力各行，都不是個(gè)好的方案集中展示。當(dāng)有大量不同業(yè)務(wù)的時(shí)候重要性，我們必須要一個(gè)自適應(yīng)的方案前景，根據(jù)業(yè)務(wù)的歷史流量自動(dòng)分析出正常情況下的基線措施，基于這個(gè)基線去發(fā)現(xiàn)異常求索，并阻斷異常請(qǐng)求。

難點(diǎn)一：如何自動(dòng)刻畫(huà)業(yè)務(wù)基線利用好，并避免歷史攻擊的干擾高效流通？

比如以下圖中第一個(gè)流量圖，我們能夠自動(dòng)識(shí)別出來(lái)它的周期性波動(dòng)并生成它的頻率基線全面革新，雖然峰值QPS非常高緊密協作，但是它符合歷史頻率基線，所以我們判定它是正常行為線上線下。第二個(gè)圖發揮重要作用，雖然峰值QPS不高，但是它不符合歷史基線數據顯示，所以判定存在攻擊行為高質量。

整個(gè)過(guò)程需要基于數(shù)據(jù)自動(dòng)完成，因?yàn)樵诖嬖诖罅坎煌瑯I(yè)務(wù)的情況下記得牢，人工標(biāo)注是不現(xiàn)實(shí)的註入了新的力量。同時(shí)，倘若網(wǎng)站歷史上存在攻擊更多可能性，也需要自動(dòng)剔除攻擊時(shí)的數(shù)據(jù)去創新，避免干擾。

難點(diǎn)二：如何在攻擊第一時(shí)間發(fā)現(xiàn)異常并作出處置緊迫性？

發(fā)現(xiàn)流量存在異常僅僅是第一步結構，很重要的是識(shí)別出來(lái)哪些流量是異常的，并且自動(dòng)生成策略把它阻斷掉聽得懂。每個(gè)業(yè)務(wù)的流量都不一樣應用優勢，攻擊方式也千變?nèi)f化，顯然不能用一個(gè)固定的特征去區(qū)分出攻擊流量和正常流量全方位。同樣的高效節能，找出攻擊流量的 關(guān)鍵是要知道正常流量長(zhǎng)什么樣，我們從幾十個(gè)維度大局，在業(yè)務(wù)正常的時(shí)候?qū)W習(xí)出流量的基線畫(huà)像新創新即將到來，精細(xì)到每個(gè)域名、每個(gè)端口有序推進、每個(gè)URL設施，同樣也是千人千面。當(dāng)發(fā)生攻擊時(shí)道路，流量分析引擎可以根據(jù)當(dāng)前流量和基線的對(duì)比規模設備，自動(dòng)生成攔截攻擊流量的策略。

3.降維打擊的協(xié)同防御

在阿里云我們天天防御了海量的攻擊指導，每一次防御都是可以輸出有價(jià)值的信息用于保護(hù)更多的其他客戶(hù)競爭力。

就像免疫系統(tǒng)一樣，一個(gè)客戶(hù)遭受過(guò)一種類(lèi)型的攻擊，該攻擊情況就會(huì)進(jìn)入威脅情報(bào)系統(tǒng)中集聚，自動(dòng)分析出攻擊手法和攻擊源IP特性競爭力，并生成多維度的針對(duì)性方案。下次再發(fā)生這種攻擊時(shí)狀況，所有客戶(hù)都可以受到保護(hù)機製性梗阻。

五、應(yīng)用層DDoS攻防的發(fā)展

DDoS防御需要爭(zhēng)分奪秒全過程，能快一分鐘集成應用，業(yè)務(wù)中斷就少一分鐘，整個(gè)防御系統(tǒng)要足夠?qū)崟r(shí)不負眾望。在流量的采集高效流通、分析和攔截都要做到實(shí)時(shí)化，尤其是攻擊流量大的時(shí)候精準調控，實(shí)時(shí)分析對(duì)整個(gè)鏈路的性能都有很大挑戰(zhàn)功能。要做到足夠快，人工分析一定是來(lái)不及的解決，必須要足夠自動(dòng)化生產製造、智能化，通過(guò)離線的基線畫(huà)像計(jì)算攜手共進，加上實(shí)時(shí)的智能策略共同，我們現(xiàn)在做到了95%以上的應(yīng)用層DDoS攻擊都可以在3分鐘內(nèi)自動(dòng)防御成功，將業(yè)務(wù)恢復(fù)大部分，因?yàn)檎麄€(gè)分析決策鏈路長(zhǎng)強大的功能，其中還是有很大改進(jìn)空間。

應(yīng)用層DDoS還有很多挑戰(zhàn)等著我們?nèi)ソ鉀Q解決方案，誤殺問(wèn)題是其中一個(gè)，當(dāng)業(yè)務(wù)有促銷(xiāo)善謀新篇、秒殺活動(dòng)時(shí)增產，短時(shí)間內(nèi)流量激增，部分秒殺場(chǎng)景中大量IP集中訪問(wèn)一個(gè)頁(yè)面方法，甚至此時(shí)正常業(yè)務(wù)就已經(jīng)受到影響行動力，服務(wù)端響應(yīng)過(guò)慢了，此時(shí)各個(gè)維度都跟正城袑嵃蜒u度；€相關(guān)非常大保供，攻擊檢測(cè)系統(tǒng)很簡(jiǎn)單將這種行為誤判為DDoS攻擊。

另外一個(gè)難題是進行部署，防御系統(tǒng)非常依靠業(yè)務(wù)的基線畫(huà)像做防御策略責任，假如一個(gè)新上線的業(yè)務(wù)就遭受攻擊，或者業(yè)務(wù)剛接入防御系統(tǒng)，此時(shí)防御系統(tǒng)缺少該業(yè)務(wù)的畫(huà)像組建，并不知道它正常流量是怎樣的表現，防御效果就會(huì)大打折扣。另外一個(gè)問(wèn)題也發(fā)生過(guò)多次深刻變革，在一些業(yè)務(wù)中客戶(hù)端有重連的邏輯結論，或者出錯(cuò)后重傳的邏輯，假如客戶(hù)端邏輯設(shè)置不當(dāng)質生產力，當(dāng)服務(wù)端發(fā)生異常時(shí)不斷重連或重傳適應性強，也簡(jiǎn)單誤判為攻擊行為，導(dǎo)致整個(gè)IP被封禁先進的解決方案。針對(duì)這些防御缺陷拓展，我們也在設(shè)計(jì)新的技術(shù)方案，包括訪問(wèn)源開展研究、客戶(hù)端的信譽(yù)評(píng)分姿勢，盡量減少對(duì)正常用戶(hù)的誤殺。

從歷史發(fā)展來(lái)看首要任務，DDoS的攻防技術(shù)一直在發(fā)展綠色化，但是攻擊和防御從來(lái)都沒(méi)有哪一方是占據(jù)絕對(duì)優(yōu)勢(shì)的，雙方的技術(shù)總是在螺旋上升發展。只要有利益存在保持穩定，黑客就會(huì)不斷挑戰(zhàn)我們的防御方案，雖然今天我們做了大量防御技術(shù)上的創(chuàng)新面向，但是道高一尺支撐作用，魔高一丈，黑客一定會(huì)研究新的攻擊技術(shù)繞過(guò)我們的防御系統(tǒng)建設項目，從簡(jiǎn)單最為突出、粗暴的攻擊方式往精細(xì)化、智能化方向發(fā)展相結合，進(jìn)而迫使我們研究新的防御技術(shù)高效化，未來(lái)攻擊和防御技術(shù)都會(huì)邁上一個(gè)新的臺(tái)階。

作者簡(jiǎn)介：葉敏為產業發展，阿里云資深安全專(zhuān)家範圍和領域，在系統(tǒng)、應(yīng)用各項要求、網(wǎng)絡(luò)安全領(lǐng)域有14年研究經(jīng)驗(yàn)更高要求，阿里反釣魚(yú)、云盾反入侵新技術、網(wǎng)絡(luò)安全產(chǎn)品技術(shù)負(fù)責(zé)人共同學習，在網(wǎng)絡(luò)安全攻防方面有豐富的經(jīng)驗(yàn)，其主導(dǎo)建設(shè)的多項(xiàng)安全技術(shù)保護(hù)了阿里云百萬(wàn)級(jí)客戶(hù)。

作為“百萬(wàn)人學(xué)AI”的重要組成部分應用優勢，2020AIProCon開(kāi)發(fā)者萬(wàn)人大會(huì)將于6月26日通過(guò)線上直播形式高質量發展，讓開(kāi)發(fā)者們一站式學(xué)習(xí)了解當(dāng)下AI的前沿技術(shù)研究、核心技術(shù)與應(yīng)用以及企業(yè)案例的實(shí)踐經(jīng)驗(yàn)高效節能，同時(shí)還可以在線參加出色多樣的開(kāi)發(fā)者沙龍與編程項(xiàng)目影響力範圍。參與前瞻系列活動(dòng)、在線直播互動(dòng)新創新即將到來，不僅可以與上萬(wàn)名開(kāi)發(fā)者們一起交流邁出了重要的一步，還有機(jī)會(huì)贏取直播專(zhuān)屬好禮，與技術(shù)大咖連麥重要工具。

評(píng)論區(qū)留言入選積極拓展新的領域，可獲得價(jià)值299元的「2020AI開(kāi)發(fā)者萬(wàn)人大會(huì)」在線直播門(mén)票一張「鼉炠|？靵?lái)動(dòng)動(dòng)手指相對開放，寫(xiě)下你想說(shuō)的話吧！