NGINX.COM
Web Server Load Balancing with NGINX Plus

您的朋友 Jon 正在其常用的电子商务网站上购物。有一天,网站突然运行缓慢,停止响应。在接下来的一周里,每当 Jon 想要搜索产品时,该网站都迟迟无法打开。他不禁纳闷:“这个网站到底还想不想赚钱?”尽管 Jon 是一位很有耐心的购物者,但鉴于该网站已经变得很不可靠,最后他决定弃用,转而访问其竞争网站进行选购。调查显示,整整三分之一的美国消费者表示,他们会在遭遇一次不愉快的体验之后放弃这个品牌,而在全球其他地区,这一比例甚至更高。

究其根源看,造成 Jon 用户体验不佳的一个原因很可能是拒绝服务(DoS)攻击。在 DoS 攻击中,攻击者利用大量请求轮番轰炸网站或应用,旨在淹没其服务器,致使它们只能非常缓慢地发送响应或根本无法发送响应。从实际效果上看,这会导致网站无法访问。

最早的 DoS 攻击在网络层和传输层三层和四层向服务器发送大量 TCP 或 UDP 连接请求(所谓的“容量耗尽攻击”)。不过,现在越来越多的 DoS 攻击使用 HTTP/HTTPS 请求或 API 调用来攻击应用层(七层)。

攻击者还会通过将许多计算机连成僵尸网络来发送大量请求,快速发起分布式拒绝服务(DDoS)攻击。在 DDoS 攻击中,不仅请求的数量可能更多,而且攻击的分布式特性还加大了确定请求来源和拦截请求的难度。

显然,DoS 攻击会对用户体验产生不良影响。但遗憾的是,此类攻击事件频发不止:

七层攻击会滥用应用、API 及其他应用资源,进而破坏用户体验并导致企业收入流失。因此,无论针对电子商务网站的攻击是来自竞争企业、黑客还是任何其他来源,网站的可用性都会对业务运维产生重大影响,并最终影响企业收入。为了确保用户能够无中断地访问所需的服务,包括结账,适当的 DoS 防护至关重要。

本文回答了以下两个与七层攻击相关的问题。与传统攻击相比,七层攻击有何不同之处,为何更加复杂?哪些防御工具最有效?

 

新型攻击

如上所述,随着互联网和应用架构日趋复杂,七层网络攻击不断演进。三层和四层容量耗尽攻击(如 UDP 反射攻击、ICMP 和 SYN 洪水攻击)却没有过去那么猖獗了。为什么呢?多年来,基础设施工程师建立起相应的防御机制,加大了三层和四层攻击的难度,降低了攻击得逞的概率。这从金钱和时间上抬高了此类攻击的成本,于是攻击者选择转移攻击目标。

与网络攻击相比,七层攻击的设计更为复杂,许多能够应对三层/四层攻击的工具无法有效保护现代应用架构。此外,七层 DDoS 攻击更难检测,因为 Bot 和自动化技术允许攻击者将自己伪装成合法流量,尤其现在他们使用了复杂的安全渗透工具。黑客一旦组建成僵尸网络(将数千台受感染的设备置于掌控下),便可轻松发起大规模攻击。由于恶意 Bot 流量隐藏在合法客户流量中,因此七层攻击带来了新的挑战。

DoS 攻击会导致网站性能下降和数据丢失,致使用户体验既缓慢又不可靠

由于现在大部分攻击都发生在应用层,因此您需要定期了解应用行为以建立基线,从而帮助确定流量是否为恶意流量,同时,最好不给安全团队增加额外负担。

 

哪些因素助推了七层攻击的激增?

现在的世界今非昔比,容量耗尽攻击已不再是主流攻击。如今,设备和应用的开发速度之快前所未有。随着环境不断变化,新漏洞层出不穷,为攻击带来了更多可乘之机。

例如,我们日常使用的设备正快速变为智能设备。Omdia 的数据显示,2020 年物联网(IoT)设备总数达到了 235 亿台,到 2021 年底可能达到 278 亿台。毫无疑问,设备越多,暴露的漏洞就越多。糟糕的是,随着手机、电视和冰箱成为联网的物联网设备,安全控制往往被忽视。由于缺乏控制,物联网设备很容易被僵尸网络利用。随着这些新技术的出现和 5G 连接在移动设备上的普及,DoS 攻击的范围显著扩大,潜在影响大大加剧。

对于攻击者来说,大规模利用现有技术和新兴技术已经变得易如反掌。因此,企业亟需采用现代解决方案来保护现代环境和抵御针对现代环境的攻击。否则,当今的智能设备和现代应用架构将始终处于无防护状态,让攻击者有机可乘。

 

七层攻击招致的高昂代价

由于新冠疫情爆发导致在 2020 年大部分时间全球都处于封控状态,因此消费者选择(或被迫)网购更多产品,包括他们以前在超市购买的日用品。这迫使企业加速数字化转型。网络攻击者趁机而上,DDoS 攻击随之激增

正如您的朋友 Jon 在电子商务网站所遭遇的经历,七层攻击会严重影响网站声誉。试想一下,如果有数十、数百、数千乃至数百万用户遭遇这种性能缓慢问题,后果可想而知。如果没有适当的保护,网站可能会遭受巨大收入损失、客户满意度下降、客户流失率增加,甚至可能登上新闻头条,严重损害品牌声誉。

更糟糕的是,七层攻击的发起成本很低,但对于网站所有者而言,缓解攻击的代价却很高。如果没有保护措施,从攻击中恢复可能需要数天到数周的时间。

随着 DDoS 攻击的规模和复杂程度不断增加,只有具备强大防御能力的企业才能免遭这些攻击。真正的解决方案必须能够防御那些可躲过传统网络和 Web 防御手段的攻击,避免企业收入损失。

 

为现代问题寻找现代解决方案

那么,什么是理想的解决方案?防范七层攻击的关键要素是什么?

从根本上说,您需要一套工具来识别网站何时受到攻击 — 能够分辨“正常用户”(合法流量)和“攻击者”(恶意流量)。它必须能够做到这一点,不仅是在具有统一结构的传统环境中,在采用微服务和 Kubernetes 的现代分布式应用架构中亦是如此。随着逐渐告别单体应用,专为保护这些应用而设计的工具已无用武之地,因此必须采用一种新方法,即与它所保护的现代环境一样具有自适应性和动态性的方法。

我们需要的是适用于当前和未来环境的 DoS 防护。现代环境的显著特点是变幻莫测。如今的攻击者在不断变换花样,因此攻击防御机制必须能够观测到持续变化的用户和服务行为,并不断做出相应调整。

NGINX App Protect 拒绝服务防护不仅能够帮助确保网站的完整性和性能,而且还有助于提供优化、可靠的用户体验

无论是现在还是未来,团队都需要功能强大的自适应性防护,尤其注重安全和速度:

  • 无缝集成
    关键在于将强大的安全控制无缝集成到现代基础设施架构中。结合使用 DoS 解决方案与 NGINX 可最大限度地降低成本、减少延迟、提高性能并提升用户体验。我们的解决方案可集成到 NGINX 平台中,帮助降低复杂性,以便跨云和架构安全地执行从代码到客户的现代应用交付。
  • 高性能
    无论是在正常情况下还是在攻击期间,解决方案都必须最大限度地降低对客户体验和应用本身的性能影响。即使在主动缓解攻击时,用户仍可访问应用,而不会受到任何阻碍或对性能产生不利影响。支持零日攻击防护的持续监控和实时特征库能够确保最佳应用性能并有效缓解攻击。
  • 敏捷安全防护
    为了适应当今数字世界的飞速发展,解决方案需要集成到持续集成和持续开发(CI/CD)流水线中,通过在部署新代码后自动确定基线和进入拦截模式来确保运维效率。这种自适应解决方案可实现安全防护自动化,轻松将“安全防护即代码”集成到 DevOps 工具中。安全防护自动执行,防止因安全性而减缓应用创新速度。
  • 攻击防御
    网络攻击者可能会调整策略,因此需要一款动态解决方案来应对这种风险。凭借可从用户和服务行为中学习的嵌入式工具,七层安全防护能够满足未来需求,并快速响应攻击,防患于未然。有了此类无监督式功能,便可实现支持多层防御的自动化反馈环 — 提供快速安全修复,与应用演进保持同步。在检测到任何行为异常后都会自动部署缓解措施,并对措施进行评估以确保其有效性。
  • 加快速度,降低成本
    传统安全防护解决方案会减慢 DevOps 工作流程速度。CI/CD 不仅减轻了开发人员的部署负担,支持他们专注于快速交付特性,而且还为新兴的 DevSecOps 团队提供了一种将安全防护集成到自动化应用交付中的方法。通过这种简化的工作流程,零接触配置可为微服务等分布式应用和 API 环境提供经济高效的大规模保护,并消除 DevOps 和 SecOps 团队之间的摩擦。

要实现七层 DoS 防护,必须集成灵活的自适应性产品,以适应不断变化的现代环境。企业主需要确保其网站在每一次数字化迁移中始终保持响应快速且安全可靠。您的朋友 Jon 也应获得更好的购物体验。如果一个网站做不到,那它的竞争对手定会取而代之。

如欲详细了解如何确保 DoS 防护,请查看我们的解决方案简介。还请查看这些相关博客:

如欲试用 NGINX App Protect DoS,请立即下载 30 天免费试用版,或与我们联系以讨论您的用例

Hero image
使用 NGINX 部署和保护 Kubernetes Ingress Controller

了解如何使用 NGINX 部署、配置、管理、保护和监控 Kubernetes Ingress controller,以在本地和云环境中交付应用和 API。

关于作者

关于 F5 NGINX

F5, Inc. 是备受欢迎的开源软件 NGINX 背后的商业公司。我们为现代应用的开发和交付提供一整套技术。我们的联合解决方案弥合了 NetOps 和 DevOps 之间的横沟,提供从代码到用户的多云应用服务。访问 nginx-cn.net 了解更多相关信息。