這種攻擊的基礎通常針對 Web 服務器（即 Windows IIS、Apache 等）等應用程序；然而，應用層攻擊已經(jīng)發(fā)展到 WordPress、Joomla、Drupal、Magento 等應用平臺。應用層攻擊的目標是破壞應用程序、在線服務或網(wǎng)站。

這些攻擊通常比我們以前見過的攻擊要小。然而，應用層攻擊的后果可能是邪惡的，因為它們可能會被忽視，直到為時已晚做出反應。這就是為什么它們被稱為“低速攻擊”甚至“慢速攻擊”的原因。它們可以是無聲的、很小的，尤其是與網(wǎng)絡層攻擊相比，但它們可能同樣具有破壞性。

例如，Linode、Digital Ocean 或 AWS (Amazon) 上的小型 VPS 可以輕松處理每秒 100,000 到 200,000 個數(shù)據(jù)包的 SYN 洪水。但是，在 WordPress 或 Joomla CMS 上運行的同一臺服務器幾乎不能在不關閉的情況下每秒中斷 500 個 HTTP 請求。這就是為什么應用層攻擊會造成與網(wǎng)絡應用攻擊一樣多的破壞。

當您考慮我們在 1.4 節(jié)中討論的放大效應時，即使是一個 HTTP 請求（攻擊者可以在不花費太多金錢或資源的情況下執(zhí)行）也可能導致服務器執(zhí)行大量內(nèi)部請求并加載大量文件來創(chuàng)建頁。

應用層攻擊（通常稱為第 7 層攻擊）可能是攻擊的一部分，不僅針對應用程序，還針對帶寬和網(wǎng)絡。這些攻擊呈上升趨勢的原因之一是惡意行為者實施它們的成本往往較低。在應用層攻擊中，放大是基于 CPU、內(nèi)存或資源的，而不是基于網(wǎng)絡的。

這些攻擊也比網(wǎng)絡層攻擊更難檢測。

專業(yè)提示：開發(fā)了強大的網(wǎng)站應用程序防火墻 (WAF)解決方案，可阻止 DDoS 攻擊關閉您的網(wǎng)站。稍后我們將詳細解釋 防火墻。

您的設備（例如家庭路由器）可能會受到攻擊并充當 DDoS 攻擊的僵尸網(wǎng)絡。我們發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)設備相關的大規(guī)模 DDoS 攻擊。

應用層攻擊包括：

• • 針對 DNS 服務器的攻擊：

域名系統(tǒng) (DNS) 對網(wǎng)站基礎架構至關重要。DNS 將信息與域名相關聯(lián)，它們也可能成為 DDoS 攻擊的目標。這些攻擊使用欺騙、反射和放大，這意味著可以大幅放大微小的查詢，以產(chǎn)生更大的字節(jié)響應。

僵尸網(wǎng)絡用于發(fā)送 DNS 請求。如果攻擊者想要針對 DNS 服務器，它將使用其網(wǎng)絡中的所有僵尸網(wǎng)絡來發(fā)出 DNS 請求消息，以獲取來自將域名轉換為 IP 地址的開放遞歸 DNS 服務器的放大記錄。當是新請求時，服務器會及時向被感染服務器發(fā)出自己的請求，以獲取放大記錄。這種攻擊是使用欺騙完成的，因此即使服務器從未發(fā)送過請求，它的響應也已經(jīng)不堪重負。

這些攻擊在今天非常流行。它們發(fā)生在第 3 層/第 4 層，使用世界各地可公開訪問的 DNS 服務器來用 DNS 響應流量壓倒您的 Web 服務器。您的網(wǎng)絡服務器被大量的響應淹沒，進而使其資源耗盡而難以運行，從而無法響應合法的 DNS 流量。

第 3 層 DNS 放大是一種 DDoS 攻擊，攻擊者通過反射第三方的攻擊來隱藏目標站點的攻擊來源。它使用放大，這意味著受害者收到的字節(jié)數(shù)多于攻擊者發(fā)送的字節(jié)數(shù)，從而增加了攻擊的威力。

如果這些攻擊成功，目標站點將關閉并且不可用。

• • 第 7 層 HTTP 洪水 - 緩存繞過：

第 7 層 HTTP 洪水——緩存繞過是最聰明的攻擊類型。攻擊者試圖使用造成最大破壞的 URL，使站點在沒有緩存的情況下耗盡其所有資源。例如，攻擊可以對“news”、“gov”、“faith”進行隨機字典搜索，這將消耗網(wǎng)站的大量資源并且不容易被發(fā)現(xiàn)，因為它看起來像普通用戶的搜索習慣。

• • 第 7 層 HTTP 洪水攻擊：

第 7 層 HTTP 洪水攻擊是一種 DDoS 攻擊，旨在使站點或服務器的特定部分過載。它們很復雜且難以檢測，因為發(fā)送的請求看起來像是合法流量。這些請求會消耗服務器的資源，導致站點宕機。這些請求也可以由機器人發(fā)送，從而增加攻擊的威力。

關于第 7 層 DDOS 攻擊（即 HTTP 泛洪攻擊）的一個有趣之處在于，它們對帶寬的依賴性很小，這使得它們能夠通過使服務器資源過載而輕松關閉服務器。根據(jù) Web 服務器和應用程序堆棧，即使每秒的請求數(shù)量很少，也會阻塞應用程序和后端數(shù)據(jù)庫。平均而言，每秒超過 100 個請求的攻擊有可能導致大多數(shù)中型網(wǎng)站癱瘓。

這種攻擊的問題在于服務器級緩存無法阻止它。傳入的 URL 是動態(tài)的，應用程序會為每個不在緩存中的新請求強制從數(shù)據(jù)庫重新加載內(nèi)容，從而創(chuàng)建一個新頁面。攻擊者知道這一點，使其成為當今第 7 層 DDoS 攻擊的首選攻擊方法。我們將 HTTP 洪水（第 7 層 DDoS 嘗試）分為 4 個主要類別：

• • 基本 HTTP 洪水：嘗試一遍又一遍地訪問同一頁面的常見且簡單的攻擊。它們通常使用相同范圍的 IP 地址、用戶代理和引薦來源網(wǎng)址。

• • 隨機 HTTP 洪水：利用大量 IP 地址并隨機使用 URL、用戶代理和引用者的復雜攻擊。

• • 緩存繞過 HTTP 洪水：隨機 HTTP 洪水的一個子類別，它也試圖繞過 Web 應用程序緩存。

• • WordPress XMLRPC Floods：使用 WordPress pingback 作為攻擊反映的子類別。

任何啟用了 pingback 的 WordPress 站點（默認情況下處于啟用狀態(tài)）都可用于針對其他站點的 DDoS 攻擊。XMLRPC 用于 pingbacks、trackbacks、通過移動設備進行遠程訪問和許多其他功能。但是，它也可能被攻擊者嚴重濫用。可能發(fā)生的情況是，其他 WordPress 網(wǎng)站可以大規(guī)模發(fā)送隨機請求并導致網(wǎng)站癱瘓。

一名攻擊者可以使用數(shù)千個干凈的 WordPress 安裝，通過對 XML-RPC 文件的簡單 pingback 請求來執(zhí)行 DDoS 攻擊。換句話說，Linux 中的一個簡單命令就可以發(fā)動一場猛烈的攻擊。如果您有興趣了解更多關于合法 WordPress 網(wǎng)站被濫用以執(zhí)行 DDoS 攻擊的信息。