HTTP流量主导着互联网，现在的企业越来越多的收入都来自线上销售，但是随着流行度的增长，风险也随之增长。就像任何协议一样，HTTP很容易受到攻击。下面我们来看看针对HTTP服务器发起的常见DDoS攻击。

  因为HTTP通过TCP运行，所以Web服务器可能面临许多与TCP相关的攻击。在规划HTTP服务保护时，攻击面比HTTP协议更广泛。今天任何DDoS攻击都使用多个向量来创建拒绝服务，为了防止它，人们应该能够保护所有这些向量。

  一、常见的TCP网络攻击

  SYN泛滥：攻击者正在发送许多发送到服务器的SYN数据包。由于攻击不需要查看返回流量，因此IP不必是真实的，通常是欺骗性IP。这更难理解攻击的来源，并帮助攻击者保持匿名。目前，SYN攻击技术仍在发展之中。

  SYN攻击背后的主要思想是发送大量SYN数据包以耗尽为TCP\IP堆栈中分配的内存。多年来，SYN攻击变得越来越复杂。最新的变种是Tsunami SYN Flood Attack，它使用带有TCP SYN位的大数据包来饱和互联网管道，同时对TCP\IP堆栈造成并行损坏。

  除了SYN泛洪之外，TCP网络攻击正在利用所有其他TCP，ACK泛洪、RST泛洪、推送-发送泛洪、FIN泛洪及其任何组合都在各种攻击中使用。攻击者将尝试一切，只要它有可能造成破坏。

  HTTP L7攻击面很广。HTTP L7攻击与上述网络攻击之间的主要区别在于，HTTP事务需要有效的IP-不能欺骗HTTP请求的IP，因为TCP握手需要IP接受并响应包。如果您不拥有IP，则永远无法建立连接。这种差异曾经给想要使用HTTP攻击的攻击者带来了很大困难，然而在当今世界，最近的物联网僵尸网络统治着它的攻击面，拥有大量的真实IP地址不再被视为不可能的挑战。从真实IP地址建立连接后，可以使用多种选项进行攻击：

  垃圾洪水-最不复杂的攻击媒介是打开与HTTP端口(通常是端口80或443)的连接，以向其发送垃圾二进制数据。这种攻击通常在缓解中被忽略，因为服务器以及保护它的安全设备期望“有效”的HTTP流量。此攻击的目的通常是在Web服务器中，甚至在其前面的缓解设备中泛洪内部缓冲区和队列。这种攻击有时也会用来使互联网管道饱和，尽管有更容易的攻击技术。

  GET泛洪-HTTP协议的最常见用法是GET请求。GET泛洪使用相同的GET请求方法，但数量很大。攻击者试图使服务器过载并停止提供合法的GET请求。此攻击通常遵循HTTP协议标准，以避免使用RFC fcompliancy检查进行缓解。

  其他HTTP方法-除了常见的GET方法之外，HTTP协议也允许其他方法，例如HEAD，POST等。使用这些方法的攻击通常与GET泛洪并行使用，以便尝试攻击服务器代码中较不常见的区域。POST请求通常比GET请求大，因此大型POST请求比大型GET请求更不可疑，并且更有可能通过保护它的缓解设备不会注意到服务器。这允许服务器上更多的内存消耗，并且更多的机会拒绝服务。

  反向带宽泛滥-这些攻击试图让服务器发送流量，使服务器的上行链路饱和到局域网或互联网。即使服务器只有一个大页面，攻击者也可以为此特定页面发送许多请求。这将使服务器一次又一次地发送它并使服务器自己的上行链路连接饱和。此技术用于避免从缓解设备进行检测，缓解设备通常测量入站流量以进行饱和，而不是始终测量出站流量。

  HTTP模糊和非行为字段-这些攻击在特定HTTP协议字段上发送垃圾或错误值。攻击将发送G3T请求(而不是GET请求)，在HTTP版本1,1(而不是HTTP 1.1)上发送流量，依此类推。另一种选择是在通信中的字段位置使用随机值。攻击者试图使Web服务器崩溃，如果服务器没有检查这些输入值的有效性，就会发生这种情况。请注意，与先前的攻击不同，此攻击不必消耗高流量或高PPS-它试图在缓解设备“雷达”下造成损害。

  低速和慢速攻击-这些攻击比使用模糊器消耗更低的BW和PPS。攻击使用非常少的流量，因此很难检测到。此攻击发送的是合法的HTTP流量，但速度非常慢。攻击将使用许多小数据包发送GET请求，它们之间有很大的时间间隔。虽然这是根据HTTP和TCP协议的合法行为，但这种行为消耗了服务器的大量资源-它必须保持连接打开，等待完整的请求到达。由于连接池有限，因此很容易达到游泳池饱和度，而且流量非常小。

  缓存绕过攻击-如今许多Web服务器都落后于CDN，允许更快地将内容传递给全球的全球用户。CDN给服务器所有者带来了错误的安全感，因为他们希望CDN在到达服务器之前阻止任何洪水。但是，通过发送对不可缓存内容的请求，可以轻松绕过CDN安全措施。对动态内容以及不存在的内容的请求将使CDN到达服务器。可以使用本文中描述的所有攻击来攻击服务器，并且CDN实际上将用作攻击本身的一部分。

  OWASP排名前10位的攻击-除了上述攻击之外，还有拒绝服务攻击，还有更多的HTTP攻击深入到HTTP协议中，并尝试从服务器获取其他资产。诸如跨端脚本、SQL注入等攻击试图使服务器提供它不应该服务的内容。这种性质的前10名攻击被称为OWASP前10名。这些通常不是拒绝服务攻击，Web应用程序防火墙(WAF)为它们提供了最佳缓解。WAF可以作为本地设备或云中的服务有效。

  二、其他攻击

  注意：保护Web服务本身并不足以保证服务。其他攻击仍然可能导致服务中断。比如通道饱和攻击，即使UDP垃圾流量与HTTP无关。还有最近发现的SMB攻击。这些攻击都针对Web服务器周围的服务-互联网通道，同一设备提供的其他非HTTP服务等，以便创建拒绝服务。

  另一种类型的攻击是攻击用于将域转换为IP地址的DNS服务器。这种方法在2016年10月使用Mirai僵尸网络在着名的Dyn攻击中使用。注意：攻击者能够对Twitter和亚马逊等大型网站进行拒绝服务，而不会向网站的方向发送任何数据包。相反，攻击者攻击了允许用户访问这些网站的互联网基础设施-他们攻击了作为这些服务的DNS提供商的Dyn，并导致网站进入拒绝服务状态。