网络安全研究人员近期发现一种新的攻击方式，它可以绕过DDoS防御机制，对应用层进行分布式拒绝服务攻击。这一攻击方式出现在一次对彩票网站的攻击，网站已经部署了DDoS保护服务，攻击流量为8.7Gbps。在一个DDoS攻击经常以100Gbps为单位计算的现在，8.7Gbps的流量并不算多，但是它对于应用层的攻击是之前从没有遇到过的。

 

　　网络攻击又有新形式

无论DDoS攻击的目标是应用层还是网络层，其目标都是在不同的网络协议间发送恶意数据包，目的是消耗目标网站的可用带宽，从根本上堵塞它的互联网通道。应用层的攻击被称为“HTTP洪水”攻击，它的目的是消耗目标服务器的计算资源(CPU和RAM)，当服务器的处理请求达到上限时，就会直接停止应答新的访问请求，从而导致网站崩溃。

　　DDoS攻击威力巨大

与网络层攻击不同的是，应用层攻击一般不依赖与发送的数据包产生的损害大小，而是向目标服务器提出大量的WEB应用处理请求。到现在为止，最大的应用层攻击产生的流量仅为500Mbps，但这其中每秒的请求数超过了200000个。每个请求的数据包非常小，几乎不会消耗太大的流量。而现在大多数公司的网络基础设施，最多每秒可以处理100个请求。

　　小心整个企业的设备被控制

在面对这种新的攻击方式时，基于云计算的网络层防御与内部应用层防御结合的DDoS攻击防护很有可能是无效的。研究人员发现，攻击者通过僵尸网络向被攻击的服务器发起了每秒163000次的WEB应用请求，并试图将被控制电脑中的大文件上传到被攻击的服务器中。这样一来，攻击者既在应用层进行了大量的处理请求，又在网络层占用了大量的带宽，导致网站崩溃。目前，安全厂商和企业正在紧急研究应对策略，以期对这种攻击进行完全的防御。

(责任编辑：安博涛)