如何抵御HTTP POST泛洪攻击？

如何抵御HTTP POST泛洪攻击？

主动控制措施

• IP 控制措施：使用威胁情报来阻止与已知恶意实 体关联的 IP 地址或 CIDR 范围。

• 地域控制措施：将来自以庇护黑客组织而闻名的 地区的流量拉入禁止名单，例如与“Anonymous Sudan”相关的地区。

• Web 应用程序防火墙 (WAF) 规则：实施专门用 于应对已知 DDoS 工具和手段的规则，包括 HTTP GET 泛洪的典型模式。

• IP 声誉控制措施：认真监控或（实时）主动阻止 来自声誉分数较差的来源的流量。

• 平台 DDoS 情报：应用来自 Akamai 全球 DDoS 攻击数据的见解，预测和应对新出现的威胁 媒介。

• Site Shield：启用防火墙访问控制列表 (ACL)， 仅允许来自 Akamai 边缘网络的流量，阻止其他 流量。

被动控制措施：

• 速率限制：建立速率策略，防范流量中突然出现 的峰值，为主页的每秒请求数量设置合适的阈 值。通过以下方法来调优速率限制：(1) 将测量 请求速率的时间窗口缩短到每秒一个请求，以及 (2) 根据连接 IP 来源的地理位置和声誉分数应用 速率限制，同时将金融机构的公司 IP 地址和合作 伙伴等来源列入允许名单。

• WAF 中的自定义规则：创建定制规则，用于在检 测到攻击后应对其中的特定特征。在自定义规则 中使用流量采样控制措施有助于进行流量分析， 从而更高效地发现热门攻击来源，而在自定义 规则中使用 IP/地域控制措施有助于快速缓解 攻击。

• 爬虫程序监测和抵御：使用浏览器仿冒检测来识 别和阻止模仿合法用户行为而实则是泛洪攻击的 请求。

• URL 防护：实施控制措施，以便限制特定于登录 URL 的请求速率，保留合法用户的带宽。使用代 理、Tor 出口节点、基本爬虫程序、低声誉 IP 等 类别来设置智能减载，有助于优先处理真实的用 户流量，而不是那些疑似恶意来源。

审查阶段：

• 审查配置：对当前的安全状况进行全面的审查。 根据您的调查结果配置主动控制措施，确保妥善 管理了所有相关的地域和 IP 控制措施。

• 配置优化：调整配置来识别和抵御不正常的流量 模式，包括 HTTP POST 泛洪攻击的特征。

检测和抵御阶段：

• 监控和告警：Akamai 的边缘防御架构可以监控 传入流量，发现其中表明可能出现了 DDoS 攻击 的模式。您可以针对符合已知 DDoS 方法（例如 HTTP POST 泛洪）的异常流量峰值或模式设置 告警。

• 检测和抵御：在您正确设置了各种主动控制措施 后，例如 IP 声誉、缓存以及 IP/地域控制措施， 系统就可以自动提供检测和抵御功能。检测到攻击时，各种控制措施，例如速率限制、URL 防 护以及浏览器仿冒程序检测功能就会自动运转， 无需任何用户干预。

• 分析和调整：持续分析攻击模式并实时调整防御 措施，以应对不断变化的攻击手段。例如，根据 近期的攻击流量分析，创建量身定制的规则或速 率限制策略。

恢复和攻击后分析：

• 日志分析：在攻击发生之后，进行详细的流量日 志分析，用于识别攻击媒介以及所部署控制措施 的有效性。

• 调整：根据从攻击分析中获得的见解，对主动和 被动控制措施进行必要的调整。

建议：

• 定期审查并更新您的防御策略，以适应不断变化 的 DDoS 攻击手段。在不同企业中，受其具体需 求、威胁状况以及行业最佳实践影响，此类审查 工作也会大为不同。金融服务企业可能需要每季 度开展此类审查工作，而电子商务平台可以制定 每半年审查一次的目标，用于准备应对季节性购 物高峰。

• 为安全团队提供持续培训，从而更好地识别和应 对新型 DDoS 攻击媒介。

• 开展模拟攻击，测试部署措施的有效性，并让团 队为真实事件做好准备。