网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

应用程序攻击利用协议栈（六），协议栈（七）中的漏洞，针对特定的应用程序而不是整个服务器。它们通常针对公共端口和服务，如DNS或HTTP。最常见的应用程序攻击有：

HTTP洪水攻击。攻击者用大量的标准GET和POST请求淹没应用程序或web服务器。由于这些请求通常显示为合法流量，因此检测HTTP洪水攻击是一个相当大的挑战。

Slowloris。正如其名，Slowloris缓慢地使受害者的服务器崩溃。攻击者按时间间隔和一小部分向受害者的服务器发送HTTP请求。服务器一直在等待这些请求完成，但永远不会发生。最终，这些未完成的请求耗尽了受害者的带宽，使合法用户无法访问服务器。在2009年总统大选后，黑客专家利用Slowloris攻击来关闭伊朗的政府网站。

0 day漏洞DDoS攻击

除了众所周知的攻击之外，还存在0 day漏洞DDoS攻击。他们利用尚未修补的未知软件漏洞或使用不常见的攻击媒介，因此更加难以检测和防御。例如，早在2016年，攻击者利用轻型目录访问协议（LDAP）发起了放大系数高达55的攻击。

现在让我们谈谈检测DDoS攻击的方法。

检测DDoS攻击

虽然不可能完全阻止DDoS攻击的发生，但有一些有效的做法可以帮助你检测和停止正在进行的DDoS攻击。

异常检测：统计模型和机器学习算法（例如神经网络，决策树和近邻算法）可用于分析网络流量并将流量模式分类为正常或DDoS攻击。你还可以搜索其他网络性能因素中的异常，例如设备CPU利用率或带宽使用情况。

基于知识的方法：使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法，你可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。

ACL和防火墙规则：除了入口/出口流量过滤之外，访问控制列表（ACL）和防火墙规则可用于增强流量可见性。特别是，你可以分析ACL日志，以了解通过网络运行的流量类型。你还可以根据特定的规则、签名和模式配置web应用程序防火墙来阻止可疑的传入流量。

入侵防御和检测系统警报：入侵防御系统（IPS）和入侵检测系统（IDS）提供了额外的流量可见性。尽管误报率很高，但是IPS和IDS警报可以作为异常和潜在恶意流量的早期指示。

在早期阶段检测正在进行的攻击可以帮助你减轻其后果。但是，你可以采取适当的预防措施来防范DDoS攻击，使攻击者更难淹没或破坏你的网络。

如何编写一个有效的防护

DDoS攻击的解决方案

无论你是想创建自己的有效防护DDoS攻击的解决方案，还是要为Web应用程序寻找商业化的DDoS攻击防护系统，都要牢记以下一些基本系统要求：

混合DDoS检测方法。基于特征码和基于异常的检测方法的组合是检测不同类型的DDoS攻击的关键。

防御3–4级和6–7级攻击。如果你的解决方案能够检测并抵御所有三种主要类型的DDoS攻击：容量攻击、应用攻击和协议攻击，则更可取。

有效的流量过滤。DDoS保护的最大挑战之一是区分恶意请求与合法请求。很难创建有效的过滤规则，因为涉及DDoS攻击的大多数请求看起来都好像是来自合法用户。诸如速率限制之类的流行方法通常会产生很多误报，导致阻止合法用户访问你的服务和应用程序。

SIEM集成。将防DDoS解决方案与SIEM系统良好结合非常重要，这样你就可以收集有关攻击的信息，对其进行分析，并使用它来改善DDoS的保护并防止以后发生攻击。