《Akamai：2024網絡安全大師：打造防御第7層DDoS攻擊的終極秘籍（29頁）.pdf》由會員分享，可在線閱讀，更多相關《Akamai：2024網絡安全大師：打造防御第7層DDoS攻擊的終極秘籍（29頁）.pdf（29頁珍藏版）》請在三個皮匠報告上搜索。

1、網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍前言 2第 7 層 DDoS 攻擊的常見目標 3現代 DDoS 攻擊中的常見要素 7攻擊者使用的工具和技術 7此類攻擊常用的漏洞 9真實示例：使用自動化技術發起 DDoS 攻擊 10攻擊手段不斷升級：TLS 信號仿冒 11準備好打造您自己的防御之道 12一探究竟：風險評估和漏洞識別 12避免分工不明：明確角色和職責 12量身選擇合適的工具 13檢測和抵御方法 14基于行為/異常的檢測 14基于速率和吞吐量的檢測 14基于簽名的檢測 14質詢-響應測試 14混合方法 15傳統方法 15尋找穩妥而平衡的方法，打造多層 DDoS 防御策略 1

2、5Akamai 一體化解決方案：工具、組成要素和 抵御方法 17未雨綢繆：借助 Akamai 邊緣架構打造深度 防御策略 17主動控制措施 18被動控制措施 18多種要素疊加，運用秘訣打造平衡方案 19秘訣：抵御 HTTP POST 泛洪攻擊 20恢復和攻擊后分析 22分析流量和攻擊模式 22根據攻擊分析結果，審查并更新防御策略 23策略要點 24攻擊后分析 24維護和更新抵御策略 25持續監控和評估 25組建防 DDoS 攻擊團隊 25與威脅情報社區交流 25尋求網絡安全供應商的幫助 25測試自己的防御措施 25與社區分享經驗教訓 26重要信息 26總結 27目錄前言即便是技能高超的安全專業

3、人士，在面對當今的分布式拒絕服務(DDoS)攻擊時，也很難找到合適的防御措施。所以對于更為復雜的第 7 層 DDoS 攻擊，可能會更加力不從心。這種情況下，一種行之有效的解決辦法是提供一套分步式操作說明，介紹如何使用不同的方法來應對不同的威脅。換言之，制作一份第 7 層 DDoS 攻擊防御指導手冊。不同攻擊者會采用不同的方法來準備發起 DDoS 攻擊。第 3 層和第 4 層的攻擊更偏向于實力比拼。誰會有更大的網絡容量，攻擊者還是防御者？第 7 層攻擊則不同，這種攻擊針對的是開放系統互連(OSI)模型的應用層，而應用層負責直接與軟件應用程序交互。攻擊的目標是通過占用容量、內存分配或者侵入這些系統

4、處理請求途徑中的弱點，徹底耗盡 Web 服務器、數據庫或應用程序的資源。因此，在抵御第 7 層 DDoS 攻擊時會面臨特殊的挑戰，因為此類請求通常顯示為合法的流量，想要篩選掉惡意請求但不影響合法用戶，就會變得非常困難。此外，由于攻擊可以利用自動化技術和云資源，這使得攻擊者可以更輕易地快速發動大規模攻擊。在本文中，我們探討了抵御第 7 層 DDoS 攻擊時面臨的難題，并詳細介紹了攻擊者采用的方案（包括所用的工具和技術）、應對這些攻擊的檢測和抵御策略，以及事件后分析與恢復建議。Akamai 在內容分發、網絡安全和分布式云平臺領域擁有成熟的經驗，同時在全球設有 4,200 多個接入點，所以我們對當今

5、的 DDoS 攻擊形勢有著獨到的見解。應用層 DDoS 攻擊日趨復雜，涉及的層面也多種多樣，因此必須要有深刻的見解，并采取全面的防御策略。本文將滿足您的這些需求。不論您是身處一線的安全專業人士，想要尋求有關應對特定威脅或漏洞的幫助，還是作為 CISO 希望改善安全狀況，這份指導手冊都可以為您帶來打造安全屏障的成功秘籍。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍22024 年|第 7 層 DDoS 攻擊的常見目標和示例第 7 層 DDoS 攻擊針對的是 OSI 模型的頂層，也就是應用層。這些攻擊的目標是侵入 Web 應用程序處理請求的途徑，以此來耗盡目標資源。第 7 層 DDoS

6、 攻擊的常見目標包括：Web 服務器：攻擊者將 Web 服務器作為目標，干擾向合法用戶分發內容。這可能會導致網站加載速度緩慢，甚至可能完全無法訪問。Web 應用程序：依賴于數據庫或后端服務的應用程序非常容易遭受第 7 層 DDoS 攻擊，因為這些攻擊會侵入應用程序在解析請求、處理請求或管理會話時的弱點。應用程序編程接口(API)：在現代化的 Web 服務和移動應用程序中，API 是非常關鍵的組成部分。攻擊者會針對 API 發起攻擊，干擾不同軟件服務之間的交互，進而影響到依靠這些 API 的應用程序的功能。DNS 服務：雖然 DNS 攻擊還可能發生在其他層，但第 7 層攻擊會涉及到利用惡意請求來

7、轟炸 DNS 服務，從而干擾域名解析，導致大面積出現可訪問性問題。DNS over HTTP/TLS 的采用日趨普遍，會導致此類攻擊的增長。電子郵件服務器：針對電子郵件服務器的攻擊會干擾通信，同時影響到傳入和傳出電子郵件。支付網關和金融服務：對于攻擊者而言，這些都是相當有利可圖的目標，他們通過干擾交易來造成金融運營的混亂。Akamai 的互聯網現狀(SOTI)報告和安全見解會定期分析第 7 層 DDoS 攻擊的發展形勢，并重點介紹多元化的攻擊媒介以及高風險行業。32024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍攻擊媒介 Web 應用程序和 API 攻擊：一般情況下，攻擊

8、者針對的是網站入口點，包括通常由于其內容或配置而不進行緩存的 API 端點。一些常見的攻擊目標路徑包括“/”、“/home”、“/en-us”、“/pricing/”等。常見的攻擊媒介包括：針對主頁的 HTTP GET/POST 泛洪 針對隨機路徑和查詢字符串的 HTTPS GET 泛洪 慢速讀取攻擊 大文件上傳泛洪此外，每年遭受 DDoS 攻擊的公司數量都是有增無減，但現在的攻擊方法已經大為不同。首先，受攻擊資產的類型和體量發生了變化。例如，攻擊者不再對相同或相似的端點發起 10 次攻擊，而是針對網絡空間中的不同 IP 發動 100 次攻擊。這些攻擊不僅針對第 3 層，還同時針對第 7 層。

9、目標行業2023 年，金融服務業、博彩業和制造業遭受分布式拒絕服務(DDoS)攻擊的事件次數急劇上升，尤其是歐洲、中東和非洲地區，超過了其他所有地區的總和。DDoS：仍在延續，2024 年 3 月5010025015020002023 年 3 月2023 年 7 月2023 年 9 月2023 年 5 月2023 年 11 月2023 年 1 月事件數金融服務游戲高科技制藥/醫療保健制造業商業商業服務非營利/教育公共部門視頻媒體網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍42024 年|金融服務行業更是成為第 7 層 DDoS 攻擊增長的重災區。自 2021 年以來，Akamai

10、 發現，針對金融服務公司的 DDoS 攻擊數量出現了不同于其他行業的顯著增長。2023 年，在所有行業中，金融服務機構遭受的攻擊數量占攻擊總數的三分之一(35%)以上，從而超越游戲業，成為更受攻擊者覬覦的目標。Akamai 的分析師發現，全球 63%的 DDoS 攻擊針對的是銀行業。在歐洲、中東和非洲，幾乎四分之三(72%)的攻擊集中在銀行業，而在亞太地區這一數字甚至達到了 91%。然而在美國，DDoS 攻擊則更平均地散布在銀行業、保險業和其他金融服務機構中。美洲：金融服務業遭受的 DDoS 攻擊占比為 28%2023 年 6 月 2023 年 12 月DDoS：仍在延續，2024 年 3 月

11、亞太地區：金融服務業遭受的 DDoS 攻擊占比為 11%2023 年 6 月 2023 年 12 月DDoS：仍在延續，2024 年 3 月公共部門商業服務制藥/醫療保健游戲非營利/教育商業高科技金融02505007501000其他數字媒體博彩視頻媒體游戲公共部門高科技金融服務商業050100150200網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍52024 年|歐洲、中東和非洲地區：金融服務業遭受的 DDoS 攻擊占比為 66%2023 年 6 月 2023 年 12 月DDoS：仍在延續，2024 年 3 月在最近的一個示例中，Akamai 的一家金融服務客戶遭受了一起復雜的

12、第 7 層 DDoS 攻擊，網絡攻擊者利用自動化技術并制造出了高度分散的攻擊。這種攻擊使用 HTTP GET 泛洪，主要目標是不可緩存的 URL（例如主頁和登錄端點）。我們利用各種主動式的控制措施，成功防御了此次攻擊，避免了對客戶的源端點造成影響。此次攻擊的來源熱圖突出顯示，對云服務提供商、Tor 出口節點以及匿名或開放的代理節點的使用量出現增加：匿名系統發起的 DDoS 攻擊2024 年第 1 季度針對一家金融機構發起的一次應用層攻擊的示意圖，攻擊范圍覆蓋 100 多個國家/地區，Akamai 幫助抵御了此次攻擊商業服務博彩商業制造業非營利/教育高科技游戲金融0250500750100012

13、50DDoS Atacks by Autonomous SystemVisualization of an application-layer attack on a financial institution that took place in Q1 2024 across more than 100 countries,which Akamai helped to mitigateDDoS attackers have the ability to construct and coordinate a broadly dispersed attack infrastructure,lev

14、eraging dynamic IP addresses throughout extensive networks,spanning numerous countries and regions worldwide.DDoS 攻擊者能夠構建和協調分布極為廣泛的攻擊基礎架構，利用遍布全球眾多國家和地區的廣泛網絡中的動態 IP 地址。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍62024 年|現代 DDoS 攻擊中的常見要素攻擊者使用的工具和技術很不幸的是，DDoS 攻擊者及其使用方法并不是一成不變的。攻擊者不斷摸索利用攻擊來牟利的套數，他們在調整技術，利用新工具和尋找新方法。有很

15、多因素證明了這一演變。自動化：攻擊者使用自動化腳本和爬蟲程序來模仿合法用戶行為，使得檢測顯著變得更加困難。此外，攻擊者現在會轉為利用機器學習算法，通過它們來適應和規避傳統的檢測方法。多媒介攻擊：攻擊者越來越多地采用多媒介策略，結合運用不同的攻擊類型（例如 GET 和 POST 泛洪）與 DNS 目標（例如放大攻擊和碎片攻擊）以及其他組合攻擊方式，從而實現徹底耗盡網絡和應用程序資源的目的。以 API 為目標：隨著企業在應用程序的使用中越來越依賴于 API，攻擊者也發現了新的機會，可以在其 DDoS 攻擊中利用 API 漏洞。這些攻擊的目標是耗盡服務器的資源，其手段包括同時發出成千上萬的連接請求，

16、或者利用邏輯漏洞，從而導致服務中斷。利用物聯網設備：物聯網設備數量急劇增長，然而通常未能得到妥善保護，這為僵尸網絡提供了龐大的武器庫。這些設備經常遭到劫持，利用其網絡連接和計算能力來發起大規模的 DDoS 攻擊。復雜程度提高DDoS 攻擊利用這些新的工具和技術，復雜性和攻擊頻率也隨之提升，攻擊者會使用錯綜復雜的方法繞過傳統的防御措施。下面列出了一些明顯的趨勢：加密：明顯轉向基于 HTTPS 的 DDoS 攻擊的趨勢，使得抵御攻擊更加困難。這些攻擊會進行加密，偽裝成合法流量，這加大了檢測并篩選掉這些攻擊的難度，因為傳統的 DDoS 防護措施在解密應用層 SSL/TLS 流量方面存在限制。7202

17、4 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍 僵尸網絡和代理：由于 DDoS 僵尸網絡顯著增長以及攻擊者普遍使用匿名代理，現在會從大量 IP 地址發送請求（通常每次攻擊會有超過 10,000 個 IP）。一些防御措施針對單個 IP 計算請求數量，攻擊者使用此策略可以繞過這樣的措施。而云托管平臺的盛行以及云端服務的采用，只會讓策劃這些高強度和高度分散的攻擊變得更容易。匿名系統發起的 DDoS 攻擊近期針對 Akamai 金融客戶的應用層 DDoS 攻擊的示意圖：每秒交易數(TPS)達到 650,000，吞吐量達到 20 Gbps，請求總數超過 90 億 防御者采用的方法也在

18、不斷發展，有一種方法會根據每個 TLS 指紋跟蹤請求，這種指紋由多個 TLS 層信號組成，例如密碼類型及其順序。雖然這種方法容易產生誤報，但如果能夠正確使用，當攻擊者從大量的機器和 IP 發起攻擊時，此方法可提供更有效的防御措施，因為被入侵的設備上安裝的是同一個軟件。這些設備會表現出類似的環境特征，其中之一就是共享 TLS 庫。常見要素溯源雖然市場上提供的工具經常變化，但攻擊技術的發展表明，攻擊方法正朝著更復雜、更難于檢測的方向發展。其中包含：被入侵的物聯網設備：攻擊者在發起大規模的 DDoS 攻擊時，仍會使用僵尸網絡中被入侵的物聯網設備，這突顯出這些設備長久以來存在漏洞。DDoS 出租服務：

19、DDoS 出租服務的出現，降低了發起攻擊的門檻，就算不具備全面技術知識的個人也能夠發起大規模攻擊。DDoS Atacks by Autonomous SystemVisualization of a recent application-layer DDoS attack(650,000 TPS,20 Gbps,9 billion+total requests)against an Akamai financial customer.DDoS Attackers are able to create and coordinate extremely distributed attack inf

20、rastructure,mostly from cloud providers:Ease of Access,Cost Effective,Fully Automated,Anonymity and Payment OptionsDDoS 攻擊者能夠構建和協調分布極為廣泛的攻擊基礎架構，該基礎架構主要源自云提供商。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍82024 年|規避技術：先進的規避技術越來越常見，如隨機化標頭參數和動態請求參數等。利用這些技術后，更難將惡意流量從合法請求中區分開來，為傳統的檢測和抵御方法帶來了更大的挑戰。此類攻擊常用的漏洞在第 7 層 DDoS 攻擊中

21、，攻擊者利用的漏洞通常與 Web 應用程序處理用戶輸入和管理數據的方式相關。在抵御這些漏洞的過程中，結合運用多種安全措施至關 重要。近年來，在開展應用層 DDoS 攻擊時，被利用的最著名的一個漏洞是 HTTP/2 快速重置漏洞，該漏洞在 2023 年底便已面向大眾廣泛宣傳。此類攻擊利用了 HTTP/2 協議中的漏洞，而該協議是互聯網及所有網站的運營基礎協議。與上一季度相比，利用此類漏洞發起的 HTTP DDoS 攻擊流量在一個季度內總體增長了 65%，說明了利用此漏洞的攻擊的嚴重性和影響。這個特殊的漏洞使得攻擊者可以利用云計算平臺和 HTTP/2 來造成更大的影響，這樣利用相對較小的僵尸網絡即

22、可進行海量 DDoS 攻擊。這些攻擊重點針對的行業包括游戲業、IT、加密貨幣、計算機軟件和電信業，美國、中國、巴西、德國和印度尼西亞是這些攻擊的最大源頭。為了進行應對，許多行業在全行業協調開展了披露 HTTP/2 快速重置漏洞(CVE-2023-44487)的工作，以闡明使用此漏洞的 DDoS 攻擊。此攻擊針對各類提供商，一些領先的云提供商和 CDN 服務提供商均在此列。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍92024 年|真實示例：一起 DDoS 攻擊中對自動化技術的使用在同一批 DDoS 攻擊中，攻擊者通常使用多種 DDoS 工具開展攻擊，而每種工具 會將多種技術結合起

23、來使用，以便繞過安全產品，或者至少降低安全產品的效率。下面使用 Akamai Web Security Analytics 得到的分析數據，舉例說明一起這樣的攻擊。發現攻擊來自 17,000 個 IP 地址 攻擊源自 400 多個網絡 2,303,793 個不同的用戶代理 2,547,901 個不同的隨機查詢字符串17K+IP addresses spread across 81 countries and 250+networks17K+IP addresses spread across 81 countries and 250+networks網絡安全大師：打造防御第 7 層 DDoS

24、攻擊的終極秘籍102024 年|HTTP 標頭輪換（例如，Accept-Language、Referer）TLS 設置輪換抵御此類復雜攻擊需要采取分層保護策略。將主動控制措施和被動控制措施結合使用不失為一種有用的方法，例如，在速率限制中，使用請求匹配和源流量特征的高級組合，或者使用源聲譽控制措施。攻擊手段不斷升級：TLS 信號仿冒近期的觀察表明，惡意攻擊者在其 DDoS 工具中，會更頻繁地使用 TLS 信號，使得此類連接看起來更像是來自合法的 Chrome 瀏覽器，從而規避檢測措施。攻擊者并沒有使用需要大量資源的 Chrome 無頭版本（可能會減緩攻擊速度），而是可能采用了 TLS 庫的修改版

25、本，使得他們可以設置和模擬任何真正瀏覽器的 TLS 信號。雖然有一些工具設計用于復制 TLS 指紋，但在 DDoS 攻擊工具中，這類工具并不常見。這種攻擊類型的使用，表明攻擊者的技術能力和對防御的深入了解都有所提高，正因為如此，第 7 層 DDoS 攻擊的防御策略必須包括定期對最新攻擊趨勢開展研究。這似乎也表明，包括 TLS 欺騙在內的 DDoS 工具變得越來越常見。HTTP header rotation(e.g.,Accept-Language,Referer)TLS setting rotationHTTP header rotation(e.g.,Accept-Language,Ref

26、erer)TLS setting rotation網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍112024 年|準備好打造您自己的防御之道一探究竟：評估風險和識別漏洞您可以通過確定關鍵資產及其中可能易受 DDoS 攻擊的位置，來大幅增強第 7 層 DDoS 抵御策略。此風險評估可以幫助您根據資源的重要性和易受攻擊性，確定哪些資源需要優先保護。在了解了潛在的攻擊媒介及其影響之后，企業可以實施具體的應對措施，例如速率限制、Web 應用程序防火墻和行為分析，從而有效地緩解風險。此外，采用連續風險評估，您就可以根據新出現的威脅和不斷變化的業務需求來發展防御策略。不同的行業和企業可能會采取

27、不同的方法來進行應用層 DDoS 風險評估。例如：電子商務：在開展大型促銷活動之前開展風險評估，可能會發現結賬流程中存在嚴重漏洞?？梢圆扇〉牡钟胧┌▽嵤?Web 應用程序防火墻(WAF)和速率限制來保護該服務。金融服務：對于銀行業應用程序，風險評估可能會發現登錄頁面是 DDoS 攻擊的主要目標。然后，銀行可以將針對端點定制的速率限制與行為檢測結合使用，來區分合法用戶和攻擊流量。了解特定漏洞之后，就可以實施有針對性的防御措施，并在攻擊期間增強關鍵 服務。避免分工不明：明確角色和職責在制定有效的第 7 層 DDoS 防御策略的過程中，務必要明確相關的角色和責任。只有這樣，在發生攻擊時才會盡可能

28、確保井然有序地開展工作和高效地做出響應。如果角色不明確，響應工作可能會一片混亂，職責重疊而且防御工作漏洞百出。明確職責可以幫助每位團隊成員明確自己的具體任務，例如監控流量和識別異常，以及實施抵御策略和與利益相關者溝通等等。這種井井有條的工作方式有助于將攻擊影響降到極低，維護服務可用性并保護關鍵資產。122024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍實際上，有過多的決策者而角色并不明確時，在 DDoS 攻擊期間反而會導致響應延誤。例如，如果網絡運營團隊和網絡安全團隊分別決定采取不同的緩解方法，而缺乏相互配合，他們可能會無意中抵消對方的努力或者忽視關鍵漏洞。正確的策略需要

29、預先定義角色，例如制定事件響應負責人、通信協調員和技術響應團隊，確保在面對攻擊時敏捷地采取一致的行動，盡可能縮短停機時間，并簡化事件后分析。量身選擇合適的工具檢測和抵御應用層攻擊頗具挑戰性，其中一項原因就是很難區分合法流量和惡意流量。為了應對這些不斷演變的威脅，建議采用多層面的防御方法：重點采用始終開啟方案還是按需方案：確保 DDoS 安全控制措施始終保持活動狀態，并持續更新事件響應計劃，以快速解決新出現的威脅。建立具備恢復能力的可靠架構：預測可能出現的單點故障，因為攻擊者可能會針對多種服務發起攻擊，包括 DNS、Web 應用程序、API 以及數據中心和網絡基礎架構。使用合適的架構對于防范第

30、7 層 DDoS 攻擊至關重要。在選擇這些架構時，需要注意的事項包括選擇邊緣還是基于 CDN 的 DDoS 防護措施，后者是始終開啟的保護。不要高估可靠性。當今 DDoS 攻擊的規?？梢院茌p易地攻陷大多數基礎架構。評估您的提供商的 SLA，并確保與您的策略保持一致。審查提供商的準備情況：在選擇提供商時，原則是提供商應該定期展示其關鍵網絡組件審查過程并評估不同的 DDoS 防護機制，以深入了解提供商能否有效地應對當前的攻擊方法。查閱您的 DDoS 攻擊響應行動手冊：整合您的 IT、運維、安全和客戶溝通人員，以增強應對攻擊的準備措施。緊急 DDoS 防護：制定好計劃，在發生緊急情況時，能夠讓 DD

31、oS 抵御解決方案提供商立即提供援助。如果您有 DDoS 防護供應商合作伙伴，請撥打他們的 DDoS 支持熱線。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍132024 年|檢測和抵御方法要想在第 7 層有效防范 DDoS 攻擊，您需要采取多種檢測和抵御策略。您可以運用多種方法，每種方法都有自己的優勢和關鍵考量因素?；谛袨楹彤惓５臋z測優勢：這種方法依靠使用機器學習和統計分析來了解您的正常流量模式，從而識別可能表明發生 DDoS 攻擊的異常流量。這種方法對于復雜的、以前未曾發現過的攻擊非常有效?？剂恳蛩兀哼@種高效的檢測存在一段學習期，可能需要幾周的時間來建立“正?！绷髁康幕鶞?，而

32、在此期間檢測功能可能不會那么有效。如果沒有經過準確的訓練，模型可能會返回誤報?；谒俾屎屯掏铝康臋z測優勢：此方法易于實施，監控請求的速率和大小，在流量超過預定義的閾值時觸發告警或緩解流程。它可以高效快速地識別大規模高容量的攻擊?？剂恳蛩兀汉戏ǖ牧髁扛叻澹ɡ缭诖黉N活動期間的流量）可能會被誤認為是 DDoS 攻擊。此方法可能無法檢測到一直處于監控中的低容量、低速率的攻擊?；诤灻臋z測優勢：此方法是將流量與數據庫中的已知威脅模式進行對比，從而快速確定并阻止識別出來的威脅。對于常見的和以前已經識別出來的攻擊媒介，這種方案極為 高效?？剂恳蛩兀捍朔椒o法檢測到新出現的攻擊方式，也無法檢測到修改過而無

33、法與現有簽名匹配的攻擊。為了確保有效性，此方法需要定期進行更新。142024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍質詢-響應測試優勢：此方法會對傳入流量發出質詢，確認流量是人還是爬蟲程序生成的。CAPTCHA 或 JavaScript 計算可以有效地防御爬蟲和自動攻擊工具?？剂恳蛩兀喝绻麑嵤┝诉^于激進的質詢策略，可能會干擾用戶體驗。更復雜的爬蟲可能具備繞過一些質詢-響應策略的能力，因此您需要定期更新質詢機制?；旌戏椒▽⒍喾N檢測和緩解策略結合使用，可以提供更全面的防護。例如，使用基于異常的檢測來標記可能的攻擊，然后將基于速率和基于簽名的方法作為補充來實現更全面的檢測范圍

34、，這樣就能打造出更可靠的防御機制。質詢-響應測試可以進一步從合法用戶中篩選掉復雜的爬蟲程序。傳統方法IP 和地理位置篩選：阻止或限制來自特定 IP/CIDR 范圍以及與您的業務無關的地理區域的流量，可以減少您暴露在源自這些區域的攻擊中的危險。在業務用戶的來源位置已知且位置數量有限時，這種方法非常有用，然而持續維護和更新可接受來源名單經常造成難題。此外，經驗豐富的攻擊者會利用代理來繞過地理位置攔截。雖然如此，在防御第 7 層 DDoS 攻擊時，這仍然是一種常用的選擇，可以作為初始防御策略。應用層協議分析：此方法審查應用層協議中的數據來檢測異?；驉阂饽Ｊ?，實現了主動式防御機制，用于抵御第 7 層

35、DDoS 攻擊。此方法可以防范能夠繞過傳統安全措施的復雜 DDoS 攻擊，但不利之處在于，深度數據包檢測會造成資源高度占用，并且誤報（會無意中阻止合法流量）的可能性更高。尋找穩妥而平衡的方法，打造多層 DDoS 防御策略打造多層 DDoS 防御策略需要采取精妙的方法，根據企業的具體風險概況以及不斷演變的網絡威脅形勢來量身打造。此策略的核心是要求進行初始評估，用以確定關鍵資產和可能的攻擊媒介，然后實施基準防護措施，如速率限制和防火墻。高級步驟需要混合使用多種方法：對新威脅采用基于異常的檢測，對已知攻擊采用基于特征的檢測，以及采用質詢-響應機制來篩選掉爬蟲程序。網絡安全大師：打造防御第 7 層 D

36、DoS 攻擊的終極秘籍152024 年|此外還可以融入自適應的威脅情報，例如確定已知和新出現 DDoS 攻擊源的 TLS 指紋模式的算法，讓安全系統可以自動調整其抵御措施，來阻止或質詢顯示該指紋的流量，從而有效地抵御攻擊。在攻擊期間和攻擊之后，要想盡可能減少損害和保持客戶信任，實施全面的事件響應和恢復計劃非常關鍵。根據過去的攻擊和新出現的趨勢不斷學習和調整，可以確保防御策略的有效性和恢復能力。一家金融機構在應對復雜的多媒介 DDoS 攻擊時的表現，清晰地展現出了制定平衡的多層防御策略的重要性。這些機構成為主要攻擊目標的原因是，停機會對其運營和客戶信任造成巨大的影響。通過結合采用多種檢測和抵御方

37、法，例如流量異常檢測，使用速率限制、IP/地理位置篩選、IP 聲譽和實時威脅情報等傳統方法，并輔以可靠的事件響應計劃，金融機構可以保護關鍵資產免于中斷，同時確保向客戶提供的服務的連續性。這種全面的方法展示了在當今的數字化環境中，企業如何防御多層面的 DDoS 攻擊。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍162024 年|Akamai 一體化解決方案：工具、組成要素和抵御方法未雨綢繆：借助 Akamai 邊緣架構打造深度防御策略針對應用層 DDoS 防護，Akamai 采用了多層次、全面且具備自適應能力的方法，旨在保護網站、應用程序和 API 抵御大部分復雜的攻擊。我們的 A

38、pp&API Protector 使用了多種重要功能，可以提供全面的保護，將可見性和抵御措施、API 安全以及第 7 層 DDoS 防護融于單個產品中，提供廣泛的保護功能。使用 Edge DNS、App&API Protector 以及 Prolexic 解決方案的全面 DDoS 防護的參考架構Akamai 的 DDoS 防護策略基于邊緣防御架構而構建，通過 Akamai 的大規模分布式平臺路由流量，在該平臺中實時檢查每個請求。此方案可以在邊緣位置防御 DDoS、Web 應用程序和 API 攻擊以及惡意爬蟲程序，阻止這些威脅因素進入應用程序或基礎架構。這種方法可以維護快速、高度安全且始終可用的

39、架構，能夠隨著攻擊規模而擴展，從而增強業務連續性。Akamai 提供了一套強大的工具和組成要素，涵蓋主動和被動控制措施，可在整體防御策略中各司其職。瀏覽器移動設備物聯網設備攻擊者僵尸網絡Akamai DNS直接查詢攻擊PRSD DNS 攻擊欺騙式 IP DNS 攻擊源站掩蔽App&API ProtectorWAAP 解決方案速率限制L3/L4 DDoS（默認抵御）爬蟲程序監測和抵御邊緣緩存IP/地理位置控制（客戶端列表和網絡列表）URL 防護（基于源站速率）聲譽控制WAF 規則/自定義規則分析和 SIEM 集成Akamai 平臺|邊緣Prolexic Network Cloud Firewal

40、lProlexic DDoS 解決方案Prolexic Cloud多層 DDoS 防護零秒 SLA自動檢測和分析Prolexic On-PremProlexic Hybrid多云和本地基礎架構、應用程序及服務開放的互聯網合法流量非法攻擊流量箭頭表示方向172024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍主動控制措施主動控制措施有助于防止攻擊的發生，側重于加強安全狀況以盡可能減少漏洞。其中包括：IP 控制措施（攔截 IP、CIDR 范圍和 ASN）：作為一個基礎防御層，這些控制措施可以阻止通過威脅情報確定的已知惡意 IP 地址或范圍。地域控制措施（攔截特定地理位置）：通過

41、允許或限制來自特定地區的流量，企業可以先發制人，主動防止自身暴露于源自高風險區域的攻擊中。Web 應用程序防火墻(WAF)規則：針對已知的漏洞和攻擊媒介（例如 FiberFox 等 DDoS 工具）實施規則，可以打造出可靠的第一道防線。IP 聲譽控制措施：啟發式地使用情報，根據 DDoS、Web 抓取和其他惡意活動的已知惡意資源，先發制人地阻止或審查可疑流量。平臺 DDoS 情報：利用來自遍布全球的 Akamai 邊緣平臺的 DDoS 攻擊見解，打造主動式防御策略，用于對抗應用層 DDoS 攻擊。緩存：優化內容緩存，從邊緣緩存來服務請求，這樣可以顯著減少源站服務器上的負載，間接減少 DDoS

42、影響。Site Shield：源站掩蔽，即通過 Akamai 邊緣網絡來僅允許流向源站的請求，這樣可以進一步減少服務器負載。被動控制措施被動控制措施是對檢測到的攻擊的響應，旨在減輕其影響并保持服務可用性。速率限制（速率策略）：這些策略對于防止突然出現的流量高峰非常關鍵，這些高峰可能預示著 DDoS 攻擊。您可以根據客戶特定的流量概況來設置和定制配置。速率限制通?？梢宰鳛榈谝坏婪谰€，幫助保護客戶的源站服務器免遭大量分散的 DDoS 攻擊。慢速 POST 防護：此控制措施專門針對慢速 HTTP POST 攻擊，針對意圖耗盡服務器資源的異常流量模式做出響應。網絡安全大師：打造防御第 7 層 DDoS

43、 攻擊的終極秘籍182024 年|WAF 中的自定義規則：您應該能夠快速定制規則來應對新出現的威脅，從而實現靈活動態的防御機制。爬蟲程序監測和抵御：利用機器學習功能來檢測瀏覽器仿冒，您可以識別并阻止通過自動化技術發起的復雜 DDoS 攻擊。使用智能減載技術進行 URL 防護：利用控制措施，限制對源站服務器的過多請求并優先處理合法用戶而非惡意流量，這樣可以幫助您在遭受 DDoS 攻擊期間維護服務正常運行。平臺 DDoS 情報：減載是一類 URL 防護措施，使用來自遍布全球的 Akamai 平臺的情報，使得客戶能夠創建主動防御策略來抵抗應用層 DDoS 攻擊。多種要素疊加，運用秘訣打造平衡方案 示

44、例：大型金融服務企業利用 Akamai WAAP 解決方案打造深度防御策略一些企業可能會發現自身更經常地遭受 DDoS 攻擊。例如，根據 Akamai 的研究，2023 年，超過三分之一的 DDoS 攻擊針對的是金融服務機構。Akamai 有一家大型金融服務企業客戶，該客戶發現自己的登錄頁面遭到了針對性的攻擊。而該客戶能夠采用一套成熟的防御方案。您也可以這樣做。攻擊者簡介：黑客行動主義者 目標：登錄端點 方法：HTTP POST 泛洪攻擊 攻擊來源：約 66,000 個 IP 地址，來自約 140 個國家/地區網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍192024 年|秘訣 抵

45、御 HTTP POST 泛洪攻擊 組成要素：主動控制措施：IP 控制措施：使用威脅情報來阻止與已知惡意實體關聯的 IP 地址或 CIDR 范圍。地域控制措施：將來自以庇護黑客組織而聞名的地區的流量拉入禁止名單，例如與“Anonymous Sudan”相關的地區。Web 應用程序防火墻(WAF)規則：實施專門用于應對已知 DDoS 工具和手段的規則，包括 HTTP GET 泛洪的典型模式。IP 聲譽控制措施：認真監控或（實時）主動阻止來自聲譽分數較差的來源的流量。平臺 DDoS 情報：應用來自 Akamai 全球 DDoS 攻擊數據的見解，預測和應對新出現的威脅 媒介。Site Shield：啟

46、用防火墻訪問控制列表(ACL)，僅允許來自 Akamai 邊緣網絡的流量，阻止其他流量。被動控制措施：速率限制：建立速率策略，防范流量中突然出現的峰值，為主頁的每秒請求數量設置合適的閾值。通過以下方法來調優速率限制：(1)將測量請求速率的時間窗口縮短到每秒一個請求，以及(2)根據連接 IP 來源的地理位置和聲譽分數應用速率限制，同時將金融機構的公司 IP 地址和合作伙伴等來源列入允許名單。WAF 中的自定義規則：創建定制規則，用于在檢測到攻擊后應對其中的特定特征。在自定義規則中使用流量采樣控制措施有助于進行流量分析，從而更高效地發現熱門攻擊來源，而在自定義 規則中使用 IP/地域控制措施有助于

47、快速緩解 攻擊。爬蟲程序監測和抵御：使用瀏覽器仿冒檢測來識別和阻止模仿合法用戶行為而實則是泛洪攻擊的請求。URL 防護：實施控制措施，以便限制特定于登錄 URL 的請求速率，保留合法用戶的帶寬。使用代理、Tor 出口節點、基本爬蟲程序、低聲譽 IP 等類別來設置智能減載，有助于優先處理真實的用戶流量，而不是那些疑似惡意來源。202024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍準備方法：審查階段：審查配置：對當前的安全狀況進行全面的審查。根據您的調查結果配置主動控制措施，確保妥善管理了所有相關的地域和 IP 控制措施。配置優化：調整配置來識別和抵御不正常的流量模式，包括

48、HTTP POST 泛洪攻擊的特征。建議：定期審查并更新您的防御策略，以適應不斷變化的 DDoS 攻擊手段。在不同企業中，受其具體需求、威脅狀況以及行業最佳實踐影響，此類審查工作也會大為不同。金融服務企業可能需要每季度開展此類審查工作，而電子商務平臺可以制定每半年審查一次的目標，用于準備應對季節性購物高峰。為安全團隊提供持續培訓，從而更好地識別和應對新型 DDoS 攻擊媒介。開展模擬攻擊，測試部署措施的有效性，并讓團隊為真實事件做好準備。檢測和抵御階段：監控和告警：Akamai 的邊緣防御架構可以監控傳入流量，發現其中表明可能出現了 DDoS 攻擊的模式。您可以針對符合已知 DDoS 方法（例

49、如 HTTP POST 泛洪）的異常流量峰值或模式設置告警。檢測和抵御：在您正確設置了各種主動控制措施后，例如 IP 聲譽、緩存以及 IP/地域控制措施，系統就可以自動提供檢測和抵御功能。檢測到 攻擊時，各種控制措施，例如速率限制、URL 防護以及瀏覽器仿冒程序檢測功能就會自動運轉，無需任何用戶干預。分析和調整：持續分析攻擊模式并實時調整防御措施，以應對不斷變化的攻擊手段。例如，根據近期的攻擊流量分析，創建量身定制的規則或速率限制策略?；謴秃凸艉蠓治觯喝罩痉治觯涸诠舭l生之后，進行詳細的流量日志分析，用于識別攻擊媒介以及所部署控制措施的有效性。調整：根據從攻擊分析中獲得的見解，對主動和被動控

50、制措施進行必要的調整。212024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍恢復和攻擊后分析在防御應用層（第 7 層）DDoS 攻擊時，攻擊后階段對于強化未來的防御措施和了解對手非常關鍵。這涉及到兩個關鍵步驟：分析攻擊模式，以及根據分析結果來增強防御措施。對于制定具備恢復能力的防御策略以及確保在線服務的連續性和完整性，這些步驟至關重要。分析流量和攻擊模式處理攻擊后的下一步是分析事件，以便了解哪些策略發揮了作用，哪些策略的效果不及預期。此評估要融入長期因素，例如對客戶信任的影響、數據完整性以及潛在的財務損失。在這一階段中，像 Akamai Web Security Anal

51、ytics 這樣全面的安全分析系統是必不可少的工具，可以幫助企業了解攻擊流量及其影響。此分析涉及剖析攻擊者使用的攻擊手段、技術和流程(TTP)。要解決的關鍵問題 包括：流量高峰是什么性質？攻擊針對了哪些具體的應用程序功能？攻擊是否利用了任何已知漏洞？Akamai Web Security Analytics 可以識別流量中的異常，確定攻擊的地理位置源頭，并根據觀察到的行為對攻擊類型分類。以下示例展示了可用于調查 DDoS 攻擊的一些流量特征或維度。圖示內容源自 Web Security Analytics，其中提供了前所未有的對安全事件的監控能力和 主動分析222024 年|網絡安全大師：打造

52、防御第 7 層 DDoS 攻擊的終極秘籍根據攻擊分析結果，審查并更新防御策略根據攻擊分析結果來審查并更新防御策略，這是企業強化網絡安全狀況的一個關鍵組成部分。通過在攻擊過后對細節進行檢查，企業可以發現其現有防御措施中的漏洞，并做出明智的調整。以下是使用 Akamai Web Security Analytics 來完成此流程的一些例子。示例 1：根據攻擊模式更新 WAF 規則場景：企業面臨的第 7 層 DDoS 攻擊針對的是其 Web 應用程序，攻擊行為向應用程序的主頁發出了大量惡意請求。審查：攻擊分析表明，現有的 Web 應用程序防火墻(WAF)規則足以檢測到 90%的攻擊流量并加以阻止，然

53、而仍漏掉了大約 10%，因為在地域允許名單中，明確允許了來自該地理位置的攻擊來源，導致應用程序不堪重負。更新：根據此分析，企業更新了其 WAF 配置，以使用與來自該具體地域的攻擊流量的特定特征相匹配的自定義 WAF 規則。更改規則之后，可以繼續允許該地理位置，但會根據攻擊流量的特定特性來阻止它。此外，進一步嚴格了針對該地理位置的速率限制設置。示例 2：增強源站防護能力場景：一家零售網站的登錄流程遭到復雜的第 7 層 DDoS 攻擊，該攻擊利用了自動爬蟲程序，并且分布極為廣泛。審查：攻擊后分析表明，攻擊流量極為分散，來自 150 多個國家/地區，有數百個看起來像是合法瀏覽器的 TLS 指紋。其中

54、很大一部分流量來自云提供商，一些提供商作為可信合作伙伴來源列入了允許名單中。雖然攻擊得到了有效的緩解，但分析結果表明需要額外的防御措施。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍232024 年|更新：為了保護具有大量計算需求的 URL（例如結帳流程），這家企業實施了 URL 防護，這是一項專門設計的功能，用于保護計算密集型的 URL 和 API 端點免遭高度分散的應用層 DDoS 攻擊。安全架構師還針對爬蟲程序、代理、IP 聲譽等啟用了智能減載。URL 防護的這種子功能可以首先拒絕來自疑似惡意來源的請求，從而優先處理真實用戶流量。同時，企業決定在 WAF 中啟用內置的爬蟲程序

55、防護功能，由于采用了本地爬蟲程序解決方案，所以之前企業并未充分考慮到這一點，但是本地解決方案在這種高速攻擊期間無法隨之擴展。示例 3：針對 API 端點實施速率限制場景：金融服務應用程序的 API 端點被大量欺詐性交易請求淹沒，這表明發生了第 7 層 DDoS 攻擊，意圖耗盡服務器資源。審查：攻擊模式分析表明，攻擊者專門針對沒有得到妥善防護并且無法處理大量請求的 API 端點。更新：作為應對措施，企業對所有 API 端點實施了嚴格的速率限制，尤其是那些識別為易受攻擊的端點。企業還采用了專門的 API 安全附加模塊，針對 API 安全性提供多層高級防護功能，包括 API 邏輯濫用、影子 API

56、威脅和 API 漏洞監控。策略要點 持續監控和日志記錄：建立健全的監控和日志記錄系統，及時發現異常情況，并準確評估攻擊期間和攻擊之后的損害。漏洞管理：定期更新和修補系統，抵御已知漏洞，減少被利用的風險。攻擊模式分析：使用合適的監測工具，深入分析攻擊模式，用來了解攻擊者的方法和意圖。攻擊后分析在可靠的第 7 層 DDoS 防御策略中，評估損害和分析攻擊模式是至關重要的組成部分。這些步驟不僅有助于了解和抵御攻擊造成的直接影響，還可以為持續改進防御機制提供信息，確保更好地準備應對未來的威脅。網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍242024 年|維護和更新抵御策略要維護可靠的第

57、7 層 DDoS 防御，需要持續監控最新的趨勢和技術。攻擊者不斷地混用攻擊模式，利用新的工具和漏洞。為了積極主動地應對這些威脅，企業必須投入時間和精力開展研究工作、進行監控、評估防御措施、打造自動化防護措施，并與威脅情報社區合作。監控領先的網絡安全論壇只是一個良好開端。我們建議采用更加規范的方法：持續監控和評估 定期監控您的網絡和應用程序性能，以檢測出表明出現了威脅的新模式或異常。使用此數據來評估您現有防御機制的有效性，確定可以改進或調整的領域。組建防 DDoS 攻擊團隊 在企業內確立可靠的人員或團隊，負責研究和監控 DDoS 攻擊形勢，并且面向企業內更廣泛的部門，每季度至少報告一次任何關鍵發

58、現和建議。與威脅情報社區交流 攻擊者彼此之間會交流最新、最有效的攻擊方法。因此，任何原因都不應該阻止您與其他公司和行業中的同事交流最佳防御實踐。隨時掌握最新的威脅情報。訂閱第三方安全信息源，參與網絡安全論壇，并與業內同事合作。此信息可幫助您預測新的攻擊媒介，并相應調整防御措施。尋求網絡安全提供商的幫助 技術提供商通常有專職的威脅研究團隊，而具有內容交付網絡的提供商可以提供其他地方所沒有的見解。您應該盡可能地利用這些學習機會。定期與安全咨詢專家交流也是理所應當的。測試自己的防御措施 如果您沒做好成功防御的準備，那就是在為失敗做準備，實踐出真知等等，無論用什么樣的套話，主旨都是一樣的：定期開展測試

59、和演習會帶來回報。252024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍定期開展審查和模擬攻擊場景（紅隊演習），測試您的防御策略的恢復能力。這些練習可以發現您當前設置中的漏洞，并揭示攻擊者可能會如何侵入您的 系統。每年至少開展一次網絡測試。對于測試案例，近期的攻擊概況可以作為一個很好的參考，尤其是您所在行業中發生的攻擊。與社區分享您的經驗教訓 需要重申的是：正如攻擊者會分享他們的攻擊工具和手段一樣，企業也應該就成功的防御策略進行知識分享。通過記錄成功案例和失敗案例，網絡安全專家可以提供切實的見解，豐富群體知識庫的內容。參與行業論壇，為這一領域中的那些新人提供指導，并參與協

60、作項目，所有這些對于打造一個強大的防御生態系統至關重要。這些工作不僅有助于開發出更有效的策略和工具，而且可以提供多樣化的經驗和見解，以應對攻擊者不斷變化的手段。這種協作精神對于在網絡安全領域中保持領先至關重要，每一項貢獻對于建設一個更強大、恢復能力更好的數字化世界，都具有寶貴的價值。重要信息DDoS 威脅的形勢一直在變化，攻擊者會不斷尋求新的方法來繞過防御措施。維護并更新您的第 7 層 DDoS 防護策略是一個持續不斷的過程，您需要保持警惕，不斷適應新的情況，并采取主動的方法。通過隨時了解最新信息、定期進行測試和審查，以及培養持續改進的文化，您就能夠針對當前和未來的威脅保持強有力的防御措施。網

61、絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍262024 年|總結很顯然，第 7 層 DDoS 攻擊不僅越來越復雜，而且由于自動化技術的進步以及攻擊者之間的協調配合，發起攻擊變得更加容易。與此同時，企業必須應對更大規模、更復雜的威脅形勢，而且失敗的成本還在攀升。實際上，炮制防御策略并非易事。面對第 7 層 DDoS 攻擊，沒有任何單一方法能夠有效抵御它。正如我們所展示的那樣，將多種檢測和防御策略結合在一起，采用多管齊下的方法，可以提供最強大的防御。此外，在選擇方法時，應該以具體的需求、流量模式以及所保護應用程序或服務的風險概況為指導。您不能在不了解業務、流量和漏洞的情況下構建防御措

62、施。定期更新和調整這些策略，對于適應不斷變化的 DDoS 威脅形勢非常重要。最后，很明顯的是，并不是攻擊結束之后您的工作就完成了。攻擊后分析和調整對于確保持續的防御成功非常關鍵，而且，這個階段對于推動知識分享以及您在這個行業中的職業發展也會有很大的作用。幸運的是，Akamai 可在全過程中很好地為每個步驟提供幫助。從應用程序和 API 保護，到對全球流量的深入見解，再到專家開展的攻擊后分析，眾多公司紛紛利用此機會，從一家供應商處尋求所需的全部第 7 層 DDoS 防護。查看 Akamai 第 7 層 DDoS 防護的實際應用。免費試用 App&API Protector。FPO272024 年

63、|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍Akamai Security 可為推動業務發展的應用程序提供全方位安全防護，而且不影響性能或客戶體驗。誠邀您與我們合作，利用我們規模龐大的全球平臺以及出色的威脅監測能力，防范、檢測和抵御網絡威脅，幫助您建立品牌信任度并實現您的愿景。如需詳細了解 Akamai 的云計算、安全和內容交付解決方案，請訪問 和 年 10 月。致謝名單編輯與創作Aseem Ahmed Barney Beal 審稿和主題撰稿Abdeslam Bella Dennis Birchard Sean Flynn Ryan Gao Alex Marks-Bluth Pawan Sajnani Nitesh Shrivastava Patrick Sullivan Prathmesh Verma Danielle Walter營銷與發布Georgina Morales Hampe Shivangi Sahu 掃碼關注-獲取最新云計算、云安全與CDN前沿資訊282024 年|網絡安全大師：打造防御第 7 層 DDoS 攻擊的終極秘籍