近期數據顯示，針對應用層的DDOS攻擊有加速的趨勢。據預測，基于應用層的DDOS攻擊每年以三倍的速度增長，Gartner預測DDOS攻擊會占2013年所有的應用層攻擊中的25%左右。研究指出，黑客現在利用DDOS攻擊來分散安全管理員的注意力從而伺機竊取敏感信息或者用戶賬號中的金錢。Verizon在2012年的數據外泄研究報告中指出“這些攻擊比別的攻擊更加令人恐懼，無論是真的發生的或者是基于設想的。”連接互聯網的設備，社交網絡，和云計算的發展更是加速了這些新型的攻擊變化。

過去，DDOS攻擊使用大量偽造的UDP,TCPSYN,或者ICMP流量來意圖淹沒目標網絡。各種供應商提供了不同的解決方案來對付他們，包括各種邊界設備和服務提供商提供的防御服務，如，ISPs防火墻，云服務，CDN清洗平臺。然而，當今的攻擊平臺已經進化到包含應用層的DDOS攻擊，目標是Web系統和DNS系統。而且，從攻擊者的角度來看，應用層的DDOS攻擊需要更少的資源和可以更隱秘地進行，他們能使用網絡基礎設施仍然能有回應的情況下，秘密地使應用服務不可訪問，達到拒絕服務的效果。

接下來，我們簡要闡述一些典型的針對應用層的DDOS攻擊以及防御解決方案。

僵尸網絡和應用層DDOS攻擊

僵尸網絡是感染了惡意程序的網絡計算機被C&C服務器控制的一個龐大網絡。最新攻擊不僅使網絡計算機，還能使更多的移動設備和基于云的設備也成為肉雞。復雜的僵尸網絡程序，如Mebroot，可以運行在操作系統之前，避免防病毒軟件的檢測，從而可以隨心所欲地控制成為肉雞的計算機。

僵尸網絡與C&C服務器之間的通訊是在隱蔽的信道中進行的，并且經過加密，采用先進的逃逸技術來掩蓋蹤跡，可以輕易地穿過防火墻而不被察覺?？刂平┦W絡的黑客，通過C&C僵尸網絡控制服務器來發布攻擊指令，如發送垃圾郵件，DDOS攻擊，遍歷銀行個人用戶密碼信息或者信用卡號等信息。

目前，租用或者創建僵尸網絡已經成為繁榮的地下市場。

雖然防御DDOS攻擊非常重要，但是防止您的應用服務器和網絡資源變成僵尸網絡的一部分也同樣重要。把應用服務器變為僵尸網絡的肉雞對于黑客來說具有非常大的吸引力，因為服務器可以為他們提供更龐大的系統攻擊資源和為他們獲取更多的肉雞提供優秀的平臺。

應用服務器通常會含有定制的，自帶的，或者是第三方的應用程序。任何的零日漏洞都會導致被黑客攻擊而使您的服務器或網絡資源成為僵尸網絡的活動區域。梭子魚Web應用防火墻提供健壯的安全特性來防止惡意軟件的上傳，命令注入，目錄遍歷，或者任何其他諸如探測或者攻擊等的入侵應用服務器的行為。

防御HTTP GET和POST洪水攻擊

Web應用通常會有一些調用數據庫，內存或者CPU運算等的比較消耗資源的頁面或者接口。例如，文本搜索，僵尸網絡會頻繁地訪問這些頁面導致Web應用崩潰。

對于這種情況，梭子魚第一層的保護是為特定的應用設定合適的人為訪問閥值。例如，人們訪問銀行業務的應用大概會在1分鐘內訪問10個頁面，那我們就把這個閥值設置好，而且，人為的訪問會帶有有效的客戶端報頭，如Cookies和Referrers報頭。一般通過腳本程序來訪問的話都不會有這方面的信息。

防御HTTP“Slow Attacks”

一些攻擊手段會使僵尸主機與攻擊目標的交互停留在局部的請求與應答當中，并且提供滿足最低交互要求的數據以防止服務器訪問超時關閉會話。這種攻擊以消耗系統資源來使得應用處理效率降低，最后導致服務器沒有能力再處理新來的請求流量。這種攻擊稱為“lowandslow”攻擊，因為只需要小部分的客戶端通過較低的網絡帶寬就可以暗地里地和慢慢地完成對服務器的DDOS攻擊，這種攻擊目前非常流行。

Slowloris攻擊是典型的Slow攻擊，它會在一定的時間間隔內向攻擊目標服務器重復初始化和發送HTTP報頭，但是卻不會把報頭發送完畢，這使得服務器線程和網絡資源不能被釋放出來，最終導致服務器資源耗盡達到拒絕服務攻擊的效果。從協議的合規性分析，這種攻擊流量是正常的流量，所以依靠特征庫和黑名單技術的防護設備是檢測不出這種攻擊的。

憑借著反向代理技術，協議和應用可視性的優勢，梭子魚Web應用防火墻可以識別和阻斷不正常的流量，通過自適應安全算法監控不斷增長和聚合的通訊流量，關閉惡意連接，從而防止這些惡意流量過度地消耗系統資源。

基于客戶端完整性檢查防御僵尸網絡攻擊

除了像Google和百度這些搜索引擎索引Web頁面之外，面向互聯網訪問的絕大部分的Web應用流量都是來自于用戶的瀏覽器，如InternetExplorer,Firefox,Chrome,或者Safari等。然而來自僵尸網絡的流量通常由自動化的腳本程序產生，和瀏覽器正常產生的流量不一樣。因此，采用一些探測性的算法可以把人為產生的流量和僵尸網絡產生的流量區分開來。

梭子魚Web應用防火墻提供兩種方法來檢測和過濾產生這些流量的源頭。第一種方法是，通過在可疑的客戶端訪問中插入檢測指令來檢驗Web瀏覽器和應用會話是否正常，這是一種被動的挑戰應答方式，這種方式不會干涉正常的人為訪問流量，但是可以檢測和阻斷僵尸網絡產生的流量。第二種方法是主動的挑戰應答方式，通過驗證碼的方式驗證客戶端的訪問是否正常，這種方法不需要修改后端Web服務器的任何配置。

由于驗證碼驗證方式會干涉用戶的訪問，所以企業和組織可以合理利用這兩種被動和主動的檢測算法，只對經過被動式檢測到的可疑客戶端使用主動式的驗證碼驗證方式。

使用地理位置IP信息降低DDOS攻擊的可能性

僵尸網絡分布于世界各個角落，在某些國家和地區尤為嚴重，在不同的地理位置發動攻擊。梭子魚Web應用防火墻具有內置的地理位置IP信息庫，可以定位具體發動攻擊的IP地址的地理位置。在攻擊發生過程中，可以使用該功能阻斷來自某個發動攻擊的主要國家或地區的攻擊流量。

根據僵尸網絡分布的足跡，大約30%-70%的攻擊流量可以被基于地理位置的訪問控制策略阻斷。這不僅僅可以使您可以繼續為正常地區的用戶提供Web應用服務，而且可以釋放系統資源和網絡帶寬。

使用客戶端IP地址信譽過濾僵尸網絡流量

僵尸網絡逐步發展得越來越大規模，通?？梢员焕脕戆l垃圾郵件，DDOS攻擊，APTs等。梭子魚網絡在郵件安全，上網安全，網絡安全和Web應用安全等領域可以提供成熟的安全解決方案，并且全球客戶數已經超過150000。梭子魚擁有業界領先的信譽數據庫，包括惡意威脅分類規則庫和惡意IP信息庫，這就是由梭子魚實驗室維護的梭子魚信譽黑名單（BRBL）。

梭子魚Web應用防火墻集成BRBL來防御僵尸網絡的攻擊。在持續不斷的DDOS攻擊期間，梭子魚的信譽技術可以很好地檢測和阻斷針對您的服務器的僵尸網絡流量攻擊。另外，梭子魚Web應用防火墻具有阻斷來自于匿名和中繼代理的流量的能力，這些代理經常被黑客用來探測和執行高級持續性的威脅攻擊。

所有上述的信譽地址庫都可以自動實時地通過梭子魚的活力更新（EU）下載到設備上，從而可以保證設備使用最新的規則地址信息庫而不需要管理員的人工干預。

綜述防御應用層DDOS攻擊

綜上所述，企業需要采用一套綜合的防護策略來對付僵尸網絡以及基于應用層的DDOS攻擊，應用層流量的可視性和可控性是網絡分層防御策略的關鍵元素，可有效地防御多元化的DDOS攻擊。

有時，企業或組織不太愿意采用DDOS防御系統的原因主要是考慮到成本、效果和投資回報率等問題。梭子魚Web應用防火墻是一個硬件或者虛擬化的應用層解決方案。它整合了實時狀態分析技術和歷史數據智能分析技術來防御應用層的DDOS攻擊。梭子魚Web應用防火墻可以基于應用閥值，協議檢測，會話完整性，主動和被動的客戶端挑戰應答方式，客戶端歷史訪問信譽，地理位置，匿名代理檢查等技術來防御應用層的攻擊。所有這些技術都已經集成到加固了的應用防火墻系統平臺，提供卓越的ROI和合規性的功能。不像一些服務提供商解決方案那樣根據流量收費，梭子魚Web應用防火墻防御DDOS攻擊不會根據攻擊的流量和頻率來收費，可以最低的成本提供實時的防護手段。