DDoS攻击后恢复与攻击分析

在防御应用层（第 7 层）DDoS 攻击时，攻击后阶段对于强化未来的防御措施和了 解对手非常关键。这涉及到两个关键步骤：分析攻击模式，以及根据分析结果来增 强防御措施。对于制定具备恢复能力的防御策略以及确保在线服务的连续性和完整 性，这些步骤至关重要。

分析流量和攻击模式

处理攻击后的下一步是分析事件，以便了解哪些策略发挥了作用，哪些策略的效果 不及预期。此评估要融入长期因素，例如对客户信任的影响、数据完整性以及潜在 的财务损失。在这一阶段中，像 Akamai Web Security Analytics 这样全面的安全 分析系统是必不可少的工具，可以帮助企业了解攻击流量及其影响。

此分析涉及剖析攻击者使用的攻击手段、技术和流程 (TTP)。要解决的关键问题 包括：

• 流量高峰是什么性质？

• 攻击针对了哪些具体的应用程序功能？

• 攻击是否利用了任何已知漏洞？

Akamai Web Security Analytics 可以识别流量中的异常，确定攻击的地理位置源 头，并根据观察到的行为对攻击类型分类。以下示例展示了可用于调查 DDoS 攻击 的一些流量特征或维度。

根据攻击分析结果，审查并更新防御策略

根据攻击分析结果来审查并更新防御策略，这是企业强化网络安全状况的一个关键 组成部分。通过在攻击过后对细节进行检查，企业可以发现其现有防御措施中的漏 洞，并做出明智的调整。以下是使用 Akamai Web Security Analytics 来完成此流 程的一些例子。

示例 1：根据攻击模式更新 WAF 规则

场景：企业面临的第 7 层 DDoS 攻击针对的是其 Web 应用程序，攻击行为向应用 程序的主页发出了大量恶意请求。

审查：攻击分析表明，现有的 Web 应用程序防火墙 (WAF) 规则足以检测到 90% 的 攻击流量并加以阻止，然而仍漏掉了大约 10%，因为在地域允许名单中，明确允 许了来自该地理位置的攻击来源，导致应用程序不堪重负。

更新：根据此分析，企业更新了其 WAF 配置，以使用与来自该具体地域的攻击流 量的特定特征相匹配的自定义 WAF 规则。更改规则之后，可以继续允许该地理位 置，但会根据攻击流量的特定特性来阻止它。此外，进一步严格了针对该地理位置 的速率限制设置。

示例 2：增强源站防护能力

场景：一家零售网站的登录流程遭到复杂的第 7 层 DDoS 攻击，该攻击利用了自动 爬虫程序，并且分布极为广泛。

审查：攻击后分析表明，攻击流量极为分散，来自 150 多个国家/地区，有数百个 看起来像是合法浏览器的 TLS 指纹。其中很大一部分流量来自云提供商，一些提 供商作为可信合作伙伴来源列入了允许名单中。虽然攻击得到了有效的缓解，但分 析结果表明需要额外的防御措施。

更新：为了保护具有大量计算需求的 URL（例如结帐流程），这家企业实施了 URL 防护，这是一项专门设计的功能，用于保护计算密集型的 URL 和 API 端点免 遭高度分散的应用层 DDoS 攻击。安全架构师还针对爬虫程序、代理、IP 声誉等 启用了智能减载。URL 防护的这种子功能可以首先拒绝来自疑似恶意来源的请 求，从而优先处理真实用户流量。

同时，企业决定在 WAF 中启用内置的爬虫程序防护功能，由于采用了本地爬虫程 序解决方案，所以之前企业并未充分考虑到这一点，但是本地解决方案在这种高速 攻击期间无法随之扩展。

示例 3：针对 API 端点实施速率限制

场景：金融服务应用程序的 API 端点被大量欺诈性交易请求淹没，这表明发生了 第 7 层 DDoS 攻击，意图耗尽服务器资源。

审查：攻击模式分析表明，攻击者专门针对没有得到妥善防护并且无法处理大量请 求的 API 端点。

更新：作为应对措施，企业对所有 API 端点实施了严格的速率限制，尤其是那些 识别为易受攻击的端点。企业还采用了专门的 API 安全附加模块，针对 API 安全 性提供多层高级防护功能，包括 API 逻辑滥用、影子 API 威胁和 API 漏洞监控。

策略要点

• 持续监控和日志记录：建立健全的监控和日志记录系统，及时发现异常情 况，并准确评估攻击期间和攻击之后的损害。

• 漏洞管理：定期更新和修补系统，抵御已知漏洞，减少被利用的风险。

• 攻击模式分析：使用合适的监测工具，深入分析攻击模式，用来了解攻击者 的方法和意图。

攻击后分析

在可靠的第 7 层 DDoS 防御策略中，评估损害和分析攻击模式是至关重要的组成部 分。这些步骤不仅有助于了解和抵御攻击造成的直接影响，还可以为持续改进防御 机制提供信息，确保更好地准备应对未来的威胁。