应用层DDoS 攻击原理
首先提交正常的连接建立请求, 在连接建立后, 向目标服务器提交服务请求, 消耗服务器计算资源. 由于在网络层行为表现正常, 应用层DDoS 攻击能够有效逃避应用层级的检测和过滤。
应用层DDoS攻击主要在于提交给服务器大量请求,使服务器处理不过来,从而瘫痪,拒绝为正常用户服务。如果在同一时间,有成千上万的用户同时访问一个网站,那么这本身就是一种“攻击”,但是每个用户都是正常用户,例如,12306火车票订票系统,放票时间会出现大量用户同时访问,导致瘫痪的情况,这种访问对网站服务器是一个巨大的挑战。
那么实现应用层ddos攻击,最主要的技术就是实现对服务器资源的有效消耗,有这几种方法:
1.提交较长的请求消耗服务器缓冲区, 使得大量合法请求无法进入缓冲区而被丢弃. 为了达到较好的攻击效果, 攻击者往往伪造一个较长的URL 请求, 提交给服务器。
2.下载大文件,这种攻击方式可以导致对磁盘的频繁访问.这种方法不管下载什么东西,怎么处理,都要保证一直下载该资源,而不是连接后立即断开。
3.请求较大的文件, 如较大的图片和页面, 此类攻击能够有效消耗网卡的计算能力和下行链路带宽。
4.提交大计算开销请求, 包括计算复杂性高的操作, 如加解密计算; 或者复杂的数据库操作, 如某个属性的最大值查询, 此类攻击能有效消耗CPU 或数据库服务器的计算能力。这种方式,最好对数据库进行攻击,例如,可以通过程序写大量POST包,提交给服务器,让服务器去处理,查询数据库,进行处理,消耗服务器资源。
实际攻击,其实可以综合上述几种,然后可以模拟正常用户的去操作,那么就不会被发现。但是实际操作中,随着服务器处理的提高,几台计算机发送的“攻击”根本成不了气候,所以,要注意警惕僵尸主机对某个服务器发起的攻击,因为一旦僵尸主机控制大量傀儡机,发起攻击,那么危害还是很大的。提高服务器的处理能力,起码会让攻击者“伤我一千,自损八百”。
DDoS 攻击是一种隐患,不断隐瞒网站管理员,并对应用程序的访问过程造成阻断。由于损坏和停机,我们已经习惯于将 DDoS攻击 作为头条新闻。但是,我们经常会错过一些细节,这些细节可能会提示我们如何避免此类攻击。为您简单介绍应用程序DDoS 攻击的基本攻击原理及其防御办法。
一、认识 OSI 模型
为了牢牢掌握各种DDoS攻击,首先我们要了解数据如何在网络连接中传播。OSI模型是对网络连接中的不同级别进行协商的过程。OSI模型的级别如下:
•应用程序:确定合作伙伴的层。
•演示:通常是操作系统的一部分,可将数据转换为各种格式。
•会话:建立,协调和终止对话。
•传输:将数据转换为数据包以便于发送。
•网络:处理寻址和路由数据。
•数据咨询客服
•物理:传送数据流,也称为比特流。
请记住,数据从OSI模型的底部开始,一直到顶部完成。简而言之,数据将遍历OSI模型的各个层次,直到到达其预期的目的地为止。最上层仅通过下面的层进行通信,直到完成数据请求为止。每当您通过单击Web上的咨询客服
二、进入第7层:应用程序级别攻击
尽管存在各种各样的DDoS攻击,但应用层攻击激增。如果您查看上面的OSI模型,则“应用程序级别”是数据连接的最顶部。这种类型的DDoS攻击通常要复杂得多,并且需要较少的资源就能破坏目标网站的连接。由于需要的资源较少,因此第7层攻击的创建成本较低。而且由于各种干扰源,它们也很难缓解。
第7层攻击可能会使网站缓慢爬网,并经常使它们完全脱机。当攻击者旨在通过大量HTTP请求来利用系统资源时,就会发生停机。僵尸程序和受感染的计算机系统将单个HTTP请求发送到目标网络。一个HTTP请求非常容易解决,但是,当快速连续发出请求时,网络很快就会过载。
如何应对应用层DDoS攻击
抵御7层DDoS攻击的主流方法是,应用程序和网站必须升级其网络以处理负载。”这转化为服务器级资源的增加和冗余。对于VPS托管,许多管理员将扩大规模并添加额外的节点,以确保在发生大规模DDoS攻击时不会丢失连接。为保护你的网站在遭受第7层DDoS严重攻击,推出香港高防服务器、香港高防IP等产品和服务,它们基于自动化的智能攻击识别并秒级触发清洗机制,最终达到大规模DDoS攻击防御的效果。香港高防服务器和香港高防IP,支持防御超过 500Gbps 规模的严重攻击,可以确保网站/web应用始终在线。其香港高防服务器支持压力测试,支持防御无效退款承诺。其香港高防IP,只需将你的网站/非网站web应用解析到高防IP即可在5分钟内快速获得防御支持,并且无论http还是https网站均可完美防御。