HTTP 洪水攻擊

HTTP 洪水攻擊是一種巨流量分散式阻斷服務 (DDoS) 攻擊,旨在透過 HTTP 請求使目標伺服器不堪重負。

學習目標

閱讀本文後,您將能夠:

  • 定義 HTTP 洪水 DDoS 攻擊
  • 說明 HTTP 洪水攻擊的運作方式
  • 概述緩解 HTTP 洪水攻擊的方法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 HTTP 洪水 DDoS 攻擊?

HTTP 洪水攻擊是一種巨流量分散式阻斷服務 (DDoS) 攻擊,旨在使用 HTTP 請求使目標伺服器不堪重負。目標因請求而達到飽和,且無法回應正常流量後,將出現阻斷服務,拒絕來自實際使用者的其他請求。

HTTP 洪水攻擊

HTTP 洪水攻擊如何運作?

HTTP 洪水攻擊是一種「第 7 層」DDoS 攻擊。第 7 層OSI 模型的應用程式層,指的是網際網路通訊協定,如 HTTP。HTTP 是基於瀏覽器的網際網路請求的基礎,通常用於載入網頁或透過網際網路傳送表單內容。緩解應用程式層的攻擊特別複雜,因為難以區分惡意流量和正常流量。

為了實現最大效率,惡意行為者通常會使用或建立殭屍網路,以最大程度地發揮其攻擊的影響。通過利用感染了惡意軟體的多台裝置,攻擊者可以發起大量攻擊流量來進行攻擊。

HTTP 洪水攻擊有兩種:

  1. HTTP GET 攻擊:在這種攻擊形式下,多台電腦或其他裝置相互協調,向目標伺服器傳送針對影像、檔案或其他資產的多個請求。當目標被傳入要求和回應淹沒時,來自合法流量來源的其他請求將發生阻斷服務。
  2. HTTP POST 攻擊:通常在網站上提交表單時,伺服器必須處理傳入的請求並將資料推送到一個持久層,通常是資料庫。與傳送 POST 請求所需的處理能力和頻寬量相比,處理表單資料和執行必要資料庫命令的程序相對密集。這種攻擊利用相對資源耗用的差異,直接向目標伺服器傳送許多 POST 請求,直到目標伺服器的容量飽和並發生阻斷服務為止。

如何緩解 HTTP 洪水攻擊?

如前所述,緩解第 7 層攻擊非常複雜且通常是多方面的。一種方法是對請求機器實施挑戰,以測試它是否是機器人,這就像在線建立帳戶時常見的 captcha 測試一樣。透過提出 JavaScript 計算挑戰之類的要求,可以緩解許多攻擊。

阻止 HTTP 洪水攻擊的其他途徑包括使用 Web 應用程式防火牆 (WAF)、管理 IP 信譽資料庫以追蹤和選擇性封鎖惡意流量,以及工程師即時分析。在擁有超過兩千萬網際網路資產的優勢下,Cloudflare 有能力分析來自各種來源的流量,透過快速更新的 WAF 規則和其他緩解策略來緩解潛在攻擊,以消除應用程式層 DDoS 流量。

Cloudflare DDoS 保護