深入解析應用層與慢速型 DDoS 攻擊

應用層（L7）及“慢速型”DDoS攻擊是最具隱蔽性的服務阻斷威脅之一。不同於傳統的帶寬飽和攻擊，這些攻擊消耗伺服器的CPU、記憶體和資料庫資源，通過強制進行昂貴的操作，如TLS握手、標頭解壓縮、路由和身份驗證等，偽裝成正常的客戶流量。

什麼是應用層與慢速型攻擊？

應用層DDoS攻擊針對OSI模型的第七層，專注於用戶依賴的應用和API。這些攻擊以非對稱成本為特徵，攻擊者消耗少量資源，而防禦方需要在每個請求或連接上投入更多的資源。

常見攻擊向量及其影響

• HTTP GET/POST 洪水攻擊：使用隨機查詢字串或標頭迫使快取未命中，將負載引向動態後端。
• HTTP/2 快速重置攻擊（CVE-2023-44487）：開啟多個流後用RST_STREAM取消，造成狀態機過載。
• Slowloris/RUDY 攻擊：通過慢速發送標頭或主體資料，佔用套接字和工作線程。
• GraphQL 深度遞歸攻擊：利用嵌套或別名查詢，爆炸性增加解決器和資料庫的工作量。

攻擊運作方式：洪水攻擊與慢速型攻擊

• 洪水攻擊：如快取破壞HTTP洪水攻擊、快速重置和GraphQL遞歸，造成請求或流的巨大負荷，影響CPU、資料庫和線程池。
• 慢速型攻擊：例如Slowloris或RUDY，通過極慢發送標頭或主體資料保持低頻寬，但耗盡每連接狀態和檔案描述符。

實際案例

• HTTP/2 快速重置攻擊：這種攻擊在2023年達到201-398M rps的峰值，主要影響代理線程池和CPU。
• GraphQL 深度遞歸：此類攻擊利用低RPS即可影響資料庫池和CPU。

這些攻擊的特點在於它們的隱蔽性和成本不對稱性，防禦者需要仔細分析流量模式來有效地檢測和緩解這些威脅。北斗數位提供多層次的DDoS防禦方案，幫助企業抵禦這些隱蔽的威脅，確保伺服器和應用的穩定運行。