HTTP洪水攻击原理及防御介绍

什么是HTTP洪水攻击

HTTP 洪水攻击是一种分布式拒绝服务 (DDoS)攻击，攻击者利用看似合法的HTTP GET或POST 请求攻击网页服务器或应用。旨在通过HTTP请求攻击目标服务器。一旦目标服务器已满足请求并且无法响应正常流量，则对于来自实际用户的其他请求将发生拒绝服务。

HTTP 洪水攻击是一种容量耗尽攻击， 通常使用僵尸网络 “僵尸军队” 一组网络互联的计算机，每台计算机通常在一些恶意软件如特洛伊木马的攻击下被恶意接管。

复杂的第七层攻击，HTTP洪水并不使用畸形的数据包、 电子欺骗或反射技术，相比其他破坏目标站点或服务器的攻击，它对带宽的需要更少。

因此，它们需要对目标站点或应用有更深的了解， 每次攻击必须精心策划才能有效。 这使得HTTP洪水攻击很难被检测和拦截。

HTTP Flood攻击如何工作？

HTTP Flood攻击描述

当HTTP 客户端，如一个网页浏览器，与一个应用程序或服务器进行”对话”时，它会发送一个HTTP请求–通常是 GET 或 POST这两种类型的请求之一。Get请求用于检索标准静态内容如图像，而POST请求用于访问动态资源。

当其迫使服务器或应用分配尽可能多的资源来响应每个请求时，攻击最为有效。因此，攻击者的目的在于利用多重请求对服务器或应用进行洪水淹没攻击，而每个请求的处理尽量占用更多的资源。

由于这个原因， HTTP洪水攻击采用从攻击者角度看最占用资源的POST请求；而POST请求可能包括触发复杂服务器处理过程的参数。另一方面，基于HTTP GET的攻击也较易创建，且在僵尸网络的情景下更易形成规模。

HTTP泛洪攻击是一种“第7层”DDoS攻击。第7层是OSI模型的应用层，指的是互联网协议，如HTTP。HTTP是基于浏览器的互联网请求的基础，通常用于加载网页或通过互联网发送表单内容。减轻应用层攻击特别复杂，因为恶意流量很难与正常流量区分开来。

为了实现最高效率，恶意行为者通常会使用或创建僵尸网络，以最大限度地发挥其攻击的影响。通过利用许多感染了恶意软件的设备，攻击者可以利用他们的努力发起更大的攻击流量。

HTTP泛洪攻击有两种：

1. 1.HTTP GET攻击 - 在这种形式的攻击中，协调多台计算机或其他设备以从目标服务器发送对图像，文件或某些其他资产的多个请求。当目标服务器被传入的请求和响应淹没时，来自合法流量源的其他请求将发生拒绝服务。
2. 2.HTTP POST攻击 - 通常在网站上提交表单时，服务器必须处理传入的请求并将数据推送到持久层，通常是数据库。与发送POST请求所需的处理能力和带宽量相比，处理表单数据和运行必要的数据库命令的过程相对密集。此攻击利用相对资源消耗的差异，通过将许多发布请求直接发送到目标服务器，直到其容量饱和并发生拒绝服务。

如何减轻HTTP洪水？

如前所述，减轻第7层攻击是复杂的，通常是多方面的。由于HTTP洪水攻击使用标准的URL请求，很难将其从其他有效的流量中区分出来。这使得此种攻击成为当今服务器和应用所面临的最先进的非漏洞安全挑战之一。传统的基于速率的检测在检测HTTP洪水攻击方面变得无效，因为HTTP洪水的流量通常处于检测阈值以下。

一种方法是对请求机器实施挑战，以便测试它是否是机器人，就像在线创建帐户时常见的验证码测试一样。通过提供诸如JavaScript计算挑战之类的要求，可以减轻许多攻击。最高效的缓解机制依赖于流量分析法的组合应用，包括识别IP地址信誉、持续跟踪异常活动及采用渐进式安全挑战(例如：要求解析JavaScript)。

阻止HTTP泛洪的其他途径包括使用Web应用程序防火墙（WAF），管理IP信誉数据库以跟踪和有选择地阻止恶意流量，以及工程师的即时分析。拥有超过1200万个域的规模优势使Cloudflare能够分析来自各种来源的流量，并通过快速更新的WAF规则和其他缓解策略来缓解潜在的攻击，从而消除应用层DDoS流​​量。

网络应用防护解决方案依赖于一个独特的客户端分类引擎，能够分析并分类所有进入站点的流量。 这种防DDoS攻击方案专门用于透明地识别恶意机器人流量–阻止所有HTTP洪水和其他应用层 (OSI 7层) DDoS攻击。

推荐阅读：

常见的12种DDoS网络攻击类型详解