DDoS攻擊已經成為一種非常多見的攻擊方式，其攻防技術都已經非常成熟。近幾年來，DDoS攻擊又演變出了更多的花樣，攻擊的規模也在逐漸擴大，特別是針對應用層的DDoS攻擊，給用戶帶來了新的網絡安全威脅。那么，什么是應用層DDoS攻擊?與傳統的網絡層DDoS攻擊又有什么區別呢?

網絡層DDoS 攻擊是利用了TCP 協議“先天”的缺陷。兩臺機器通信時要先進行三次握手，首先是客戶機發出一個請求 (SYN) ，服務器收到該請求后，填寫會話信息表 (TCB，保存在內存中)并且向客戶機反饋一個回應包 (SYN-ACK) ，此時該連接處于半開連接狀態，正常情況下，客戶端會回應ACK包，三次握手完成。如果服務器沒有收到客戶機的 ACK 信息包，會隔一段時間再發送一次回應包 SYN-ACK，這樣經過多次重試后，客戶機還沒有回應的話，服務器才會關閉會話并從 TCB 中刪除。

怎么樣，看出問題了嗎?如果有人想攻擊服務器，很簡單，攻擊端收到服務器的SYN-ACK包以后，不再回應ACK包，服務器會等待一段時間才會釋放TCB。攻擊者控制“肉雞”同時向服務器發起大量的請求 (SYN) ，并且本身拒絕發送 SYN-ACK 回應，服務器的 TCB 將會很快超出正常負荷，服務器無法響應正常用戶的請求，最終導致業務中斷。

這種利用TCP協議缺陷的DDoS攻擊，可以用“簡單粗暴”這個詞來形容，其特征比較明顯，非常容易被識別，目前針對它的防護技術也已經較為成熟。

同樣的，應用層協議也有著自己的不足，攻擊者也正是利用了一點。應用層協議較為復雜且形式多樣，應用層DDoS攻擊并不具備傳統攻擊的特征，一般網絡安全設備很難檢測到，其破壞力也遠大于傳統的網絡層DDoS攻擊。

以HTTP協議為例，常見的HTTP DDoS攻擊主要有兩種，CC攻擊和慢速攻擊。CC攻擊是一種針對WEB服務器的Flood(泛洪)攻擊，即HTTP Get Flood，它以消耗服務器的帶寬資源為目的。攻擊者操控大量“肉雞”對服務器發送大量的HTTP Request，導致服務器帶寬資源耗盡，無法響應正常用戶的請求。

由于很多網站使用動態頁面的技術，通常一次GET 請求可能引發后臺數據庫的查詢等動作，當HTTP Get 數量增加到一定程度時，數據庫也將不堪重負，導致動態頁面無法響應。從攻擊手法上來看，CC攻擊與傳統網絡層DDoS攻擊類似，都是發送大量的請求，耗盡服務器帶寬資源，只是二者利用的協議不同。

另一種常見的攻擊是慢速攻擊，它是以消耗服務器的計算資源為目的，它并不需要“簡單粗暴”的發送大量的數據包，只發送很少的數據即可給服務器造成致命的打擊。

攻擊者跟服務器建立連接時，先指定一個比較大的Content-Length，然后以非常低的速度發包，比如1-10s 發一個字節，服務器認為客戶端要發送的內容很大，會一直處于等待狀態，維持住這個連接不斷開。如果攻擊者的“肉雞”持續建立這樣的連接，那么服務器上可用的資源將一點一點被占滿，從而導致服務器無法響應正常用戶的請求。

深信服AD應用交付系列產品可防護網絡層和應用層的DDoS攻擊(如SYN-Flood, Smurf, SSL-Flood,CC攻擊,HTTP慢速攻擊等)，那么為什么深信服要在應用交付上實現DDoS攻擊防護的功能呢?

應用交付通常部署于服務器的前端，將業務穩定、安全、高效的交付給用戶。在全代理模式下，它可以實現客戶端和服務端的網絡隔離，使二者不會建立網絡連接。業務訪問的所有流量都會先交給應用交付設備，由應用交付設備進行分發。黑客攻擊的“服務器”實際上就是對外發布業務的應用交付設備，這就要求它具備一定的安全防護能力，其本身性能也非常強大，可以抵擋住DDoS泛洪攻擊的大流量。深信服應用交付開發團隊針對主流的DDoS攻擊進行了深入研究，結合應用交付自身的特點，在應用交付設備上實現了網絡層和應用層DDoS攻擊防護，與WEB服務器漏掃等安全功能呼應，為客戶的對外業務保駕護航。