本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 应用层攻击 攻击者可以通过使用第 7 层或应用程序层攻击来瞄准应用程序本身。在这些攻击中,与SYN洪水基础设施攻击类似,攻击者试图使应用程序的特定功能过载,以使该应用程序不可用或对合法用户没有响应。有时,这可以通过非常低的请求量来实现,只会产生少量的网络流量。这会使攻击难以检测和缓解。应用层攻击的示例包括HTTP洪水、缓存破坏攻击和-洪水。 WordPress XML RPC + 在*HTTP洪水攻击*中,攻击者发送的HTTP请求看似来自 Web 应用程序的有效用户。有些HTTP洪水会针对特定的资源,而更复杂的HTTP洪水则试图模拟人类与应用程序的互动。这可能会增加使用常见缓解技术(例如请求速率限制)的难度。 + *缓存破坏攻击*是一种HTTP洪水,它使用查询字符串中的变体来规避内容分发网络 () 缓存。CDN它们不能返回缓存的结果,而是CDN必须为每个页面请求联系源服务器,而这些源提取会给应用程序 Web 服务器带来额外的压力。 + 通过*RPC洪水攻击*(也称为 WordPress pingback flood),攻击者将目标对准 WordPress 内容管理软件上托管的网站。WordPress XML攻击者滥用 [XML-RPC](https://docs.python.org/3/library/xmlrpc.client.html#%3A~%3Atext%3DXML%2DRPC%20is%20a%20Remote%2Cand%20get%20back%20structured%20data) API 函数生成大量HTTP请求。pingback 功能允许托管在 WordPress (站点 A)上的 WordPress 网站通过站点 A 创建的指向站点 B 的链接通知其他站点(站点 B),然后网站 B 尝试获取站点 A 以验证该链接的存在。在 pingback 洪水中,攻击者滥用此功能使站点 B 攻击站点 A。这种类型的攻击具有明确的签名:“`WordPress:`” 通常出现在请求标头的 User-Agent 中。HTTP 还有其他形式的恶意流量可能会影响应用程序的可用性。*抓取机器人*会自动尝试访问网络应用程序以窃取内容或记录竞争信息(例如定价)。*暴力*攻击和*凭据填充*攻击是经过编程的行为,旨在未经授权地访问应用程序的安全区域。严格来说,这些DDoS攻击并不是攻击,但其自动化性质可能与DDoS攻击类似,可以通过实施本paper中介绍的一些相同的最佳实践来缓解攻击。 应用层攻击也可以针对域名系统 (DNS) 服务。这些攻击中最常见的是*DNS查询洪水*,在这种攻击中,攻击者使用许多格式良好的DNS查询来耗尽DNS服务器的资源。这些攻击还可能包括缓存破坏组件,攻击者通过随机化子域字符串来绕过任何给定解析器的本地DNS缓存。因此,解析器无法利用缓存的域查询,而必须反复联系权威DNS服务器,这会放大攻击。 如果 Web 应用程序是通过传输层安全性 (TLS) 传送的,攻击者也可以选择攻击TLS协商过程。TLS计算成本很高,因此攻击者通过在服务器上产生额外的工作负载,将无法读取的数据(或难以理解(密文))作为合法握手进行处理,从而降低服务器的可用性。在这种攻击的变体中,攻击者完成了TLS握手,但会永久重新协商加密方法。攻击者也可以尝试通过打开和关闭多个TLS会话来耗尽服务器资源。