抵禦不斷增加的應用程式層 DDoS 攻擊
透過三支柱策略來提升應用程式的韌性
分散式阻斷服務 (DDoS) 攻擊已成為應用程式層最常見的威脅之一,而且這種威脅的規模還在不斷擴大。它們會向伺服器和網路資源傳送大量請求,導致軟體運作緩慢甚至崩潰,進而使關鍵業務運作停擺。如今,DDoS 攻擊在所有針對 Web 應用程式流量的攻擊中佔據了相當大的比例。事實上,在 Cloudflare 2024 年攔截的所有應用程式層流量中,DDoS 攻擊佔了 37%。
令人遺憾的是,網路犯罪分子發起應用程式層 DDoS 攻擊的門檻正變得越來越低。他們不斷利用新工具、採用新戰術,以簡化其惡意行為。例如,DDoS 租賃「加速器」(DDoS-for-hire booster) 服務與結合 AI 的攻擊指令碼,已大幅降低攻擊者的入門門檻。如今,網路犯罪分子可以比以往任何時候都更快、更省錢地發動攻擊。他們還能策劃出規模更大、手法更精密的攻擊,例如我們每季都見到的那些破紀錄的新型攻擊事件。
與此同時,網路犯罪分子定位目標與規避偵測的能力也在持續提升。例如,他們越來越擅長運用偵察策略,找出存在弱點的 API。此外,他們也利用殭屍網路來模擬真實使用者行為,藉此規避安全工具的防護。
領先的 CIO 已將強化針對應用程式層 DDoS 攻擊的防禦能力列為首要任務。為了有效防堵這類攻擊,安全團隊首先必須瞭解這些攻擊的運作方式、為何如此難以偵測,以及它們可能對企業造成哪些影響。在掌握這些基礎後,他們可以實施包含阻止攻擊和提高韌性所需關鍵能力的策略框架。
瞭解不斷演進的應用程式層威脅
相比典型的網路層 DDoS 攻擊(第三層或第四層),應用程式層(又稱為第七層)DDoS 攻擊採取更具針對性的策略。網路層攻擊通常試圖造成大範圍的服務中斷,而應用程式層 DDoS 攻擊則鎖定關鍵的業務工作流程與服務進行干擾。這類攻擊可能以登入頁面、API 或支付閘道為目標,企圖破壞特定功能,而不一定會影響到整個網路基礎架構。
應用程式層攻擊的流量通常也比網路層攻擊要小。這類攻擊會遵循應用程式通訊協定,設計得看起來「正常」。攻擊者可能會製造看似合法的請求,例如登入嘗試或搜尋查詢,來使特定的軟體元件過載。他們也可能在長時間內傳送少量惡意流量,以躲避偵測。這種所謂的低流量慢速攻擊,目的是透過耗用 CPU 運算週期、記憶體與資料庫連線等資源,來使支援應用程式的伺服器或資料庫不堪負荷。
這種低流量的攻擊手法,正是讓應用程式層攻擊如此難以偵測的原因之一。這類攻擊能繞過傳統依賴流量閾值來觸發防禦的網路安全機制。要有效防禦,就必須採取一套能隨情況調整的策略,分析流量的品質、脈絡與意圖,而不能只單純依靠流量數量的評估。
識別常見的攻擊手段和技術
網路犯罪分子會運用多種手法來攻擊應用程式層,有的針對不同的元件與弱點,有的則採取截然不同的方式來使伺�服器過載。以下是最常見的六種攻擊手法:
HTTP/HTTPS 洪水:這類型的攻擊會透過大量 HTTP GET 或 POST 要求,使網頁伺服器不堪負荷,導致伺服器資源被耗盡,進而使正常使用者的存取服務陷入阻斷狀態。
DNS 查詢洪水攻擊:攻擊者可能會向 DNS 服務傳送大量查詢請求,進而引發層層擴散的故障效應,導致所有相依的軟體與服務無法存取。
低流量慢速攻擊:這類攻擊(例如 Slowloris 和 R.U.D.Y.)會建立並維持速度緩慢且不完整的連線,僅使用極少的頻寬,藉此耗盡伺服器資源,同時規避偵測。
針對 API 的專屬攻擊:隨著 API 優先架構的興起,網路犯罪分子越來越常鎖定特定的 API 端點,以使整個服務陷入癱瘓。
應用程式漏洞利用:攻擊還可能利用 SQL 資料隱碼攻擊和 Cross-site scripting (XSS) 等手段竊取資料或破壞系統。
新興攻擊手法:攻擊者持續開發新的攻擊技術,例如幾年前出現的 HTTP/2 Rapid Reset 攻擊所採用的手法。如今,他們還運用殭屍網路來模擬隨機的滑鼠移動、維持工作階段 Cookie、變更請求標頭,並在網站上造訪多個頁面——這一切都是為了偽裝成人類使用者,並在發動攻擊前規避偵測。
這些手法中,有些已經模糊了 DDoS 攻擊與更一般性應用程式層攻擊策略之間的界線:它們既可用於資料外流,也可用於服務阻斷。為了有效抵禦這些威脅,企業必須將其 DDoS 防禦策略與整體應用程式安全機制進行整合。
建立阻止應用程式層攻擊的策略
防禦應用程式層 DDoS 攻擊需要一套精密且多元的策略,不能僅依賴傳統以流量為主的 DDoS 防禦手段。此策略應結合進階的偵測、預防與緩解措施,並建構��一套能隨情況調整的安全架構。
進階偵測
現代的偵測策略必須能夠看穿攻擊者所使用的模擬行為。使用者與實體行為分析 (UEBA) 解決方案會先透過持續監控應用程式級的流量,建立出「正常」行為的基準線。接著,這些解決方案會運用行為分析與機器學習能力,來辨識可能代表攻擊的異常狀況。此外,對應用程式效能指標(例如 CPU 使用率與記憶體耗用量)進行即時監控,也能更早發現潛在的攻擊跡象。
企業應該以來自大型雲端全球網路的即時威脅情報,來強化這些防禦能力。團隊亦可透過 Web 應用程式防火牆 (WAF),主動識別並封鎖惡意 IP 位址或殭屍網路。
預防和緩解
除了偵測之外,企業還應採用多種預防與緩解策略,以提升軟體的韌性。例如,智慧型限速能防止過多請求耗盡資源;WAF 可篩選並封鎖惡意流量,而 API 安全閘道則能篩選惡意的 API 呼叫。此外,Zero Trust 模型能縮小攻擊面,即便使用者認證遭到盜用,也能控管對應用程式的存取。
為了減輕攻擊的影響,企業可以部署內容傳遞網路 (CDN),該網路能將應用程式內容分散佈署於全球各地,在網路邊緣緩解攻擊流量,進而降低服務中斷的風險。負載平衡技術則可將流量分散至多台伺服器,避免單一伺服器過載;同時,自動擴展功能能根據流量需求動態調配資源,確保在遭受攻擊時仍有足夠的服務容量。
自適應安全架構
攻擊者並未停下腳步。他們持續開發新技術、採用新工具,以協助規避防禦機制。企業需要一套能因應變化的自適應安全架構,能從這些不斷演進的威脅中學習,並自主預測和回應攻擊。
威脅情報對於提升 DDoS 防禦韌性至關重要——它能將防禦模式從被動反應轉變為主動預測。透過分析全球攻擊模式的資料,威脅情報服務可協助企業預判新興的攻擊途徑(例如新型放大技術或駭客行動主義活動),並主動強化防禦措施。這類情報能提供即時的惡意 IP 清單供立即封鎖,協助制定精準的限速政策,並確保安全團隊能迅速區分干擾性的 DDoS 流量與針對性的資料竊取行為,從而實現聚焦且有效的回應,兼顧服務可用性與核心資料的完整性。
AI 和 機器學習 (ML) 將是這種自適應架構中不可或缺的一環。基於 AI 與 ML 的工具能分析大量網路資料,辨識出傳統系統可能忽略的細微攻擊模式與異常狀況。這些工具還能從每次新攻擊中學習,並在數秒內套用新政策或規則,以緩解威脅。
安全團隊也必須實施靈活應變的流程。建立事件回應計畫並進行擬真的 DDoS 模擬演練,對於找出系統弱點與驗證緩解程序是否有效至關重要。隨著攻擊者不斷改變手法,以及企業發現應用程式中的漏洞,這些計畫與演練也必須跟著調整與演進。
阻止應用程式層 DDoS 攻擊
Cloudflare 的全球連通雲提供一系列雲端原生服務,可防禦 DDoS 攻擊,包括針對您應用程式層的攻擊。例如,DDoS 防護利用 Cloudflare 擁有的 449 Tbps Tbps 網路容量,即使面對最大規模的 DDoS 攻擊也能有效緩解,且不會影響應用程式的效能。基於機器學習的 UEBA 功能,能協助您偵測可能代表威脅的異常行為;而 WAF 服務則可即時攔阻攻擊。由於這些功能及其他能力皆完整整合於單一平台之上,您的團隊能在不增加複雜性的情況下,有效抵禦應用程式層攻擊並提升系統韌性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《緩解 DDoS 攻擊的五大關鍵考量》電子書,進一步瞭解如何保護貴組織免受針對應用程式層和網路層的 DDoS 攻擊。
作者
Gregory Van den Top – @gregoryvdtop
Cloudflare 現場安全長
重點
閱讀本文後,您將能夠瞭解:
最新的應用程式層 DDoS 攻擊手段與技術
為什麼應用程式層攻擊難以偵測
如何�建立抵禦 DDoS 攻擊的三大支柱策略