使用 NGINX App Protect 拒绝服务攻击保护您的应用免受第 7 层 DoS 攻击

用户体验就是一切。 如果消费者和客户不使用应用程序和网站，那么它们就没有存在的意义。 因此，确保积极、一致的用户体验非常重要，尤其是当用户对延迟、停机和错误的容忍度越来越低时。

当用户对您的应用或网站的体验不佳时，您可能会永远失去他们作为客户。 在Salesforce 的一项调查中，61% 的消费者表示，在一次不愉快的体验后，他们就转向了竞争对手。 重复不好的经历，逃跑是不可避免的。 当网上有如此多的选择时，品牌忠诚度才有意义。

消费者不满的主要原因之一是停机，而拒绝服务 (DoS) 攻击是导致持续停机的主要原因。 由于应用设计的变化，出现了新的威胁载体，攻击者采用了使用了二十多年的 DoS 攻击来利用现代架构。 2020 年 1 月至 2021 年 3 月期间，应用层（第 7 层）的 DoS 攻击急剧增加，占所有 DDoS 事件的 16%。 事实上， F5 安全事件响应团队收到的请求中有一半都是为了应用层 DoS 攻击而寻求帮助。

集中式安全缓解措施可以有效应对网络层（第 4 层）的容量密集型 DoS 攻击，但应用层 DoS 攻击更具针对性，因此需要专门的防御措施来保护日益分散、由 API 和微服务组成并存在于更灵活的基础设施（例如云）上的现代应用。

超越传统保护

即使 DoS 攻击源是分布式的（使其成为DDoS 攻击），网络层的基本容量攻击通常也针对单个设备或服务，而传统的防护工具同样也是单一且集中的。 虽然这些工具在应用安全领域仍然占有一席之地，但它们还不够。 如今，基于云的 DDoS 防护服务已成为行业标准。 然而，他们仍然没有解决这样一个事实：应用不再是单一的单一服务，而是有许多需要保护的集成点。

在数字化转型以及随之而来的大规模架构向 API、微服务和基于云的集成转变之前，基本的 Web应用防火墙 (WAF) 可以很大程度上缓解漏洞利用和 DoS 攻击。 例如，在表现为客户端洪水的容量耗尽攻击中，基本的 WAF 和传统的 DoS 工具是有效的，因为流量是集中的——云清洗服务可以在流量进入入口管道之前缓解攻击，或者可以在应用堆栈前面放置保护。 基本 WAF 仍可防御传统攻击，主要通过速率限制、拒绝名单和机器人签名，但威胁形势已超越这一点。

简而言之，游戏已经改变，基本的 WAF 和传统的 DoS 保护对于现代应用架构不再有效。

现代 DoS 攻击发生在第 7 层，由于它们隐藏在加密通道和目标应用逻辑中，因此很难被发现。 因此，您需要额外的保护层来衡量客户端行为和服务器压力——这是 DoS 攻击的两个最大指标。

为了帮助解决这个问题，我们最近发布了NGINX App Protect 拒绝服务模块。 如果您已经有 WAF 和传统 DoS 保护，您可能想知道是否需要 DoS 模块。 您确实需要——请继续阅读以了解原因。

现代建筑需要现代保护

加密无处不在，而传统的 DoS 保护并非为大规模解密而设计的。 在单片应用时代，集中式 DoS 缓解是有意义的，因为加密并不是那么普遍，并且仅通过查看客户端就可以检测到攻击。 如今，几乎所有流量都经过加密，因此仅关注入口流量的无状态 DoS 缓解措施基本上是无效的，尤其是当攻击使用单个有针对性的请求来造成应用压力时。

现在，applications针对微服务等分布式架构进行了设计和优化，并且由于对用户隐私的重视程度不断提高（以及随后的立法）和加密技术的进步，端到端加密变得越来越普遍。 现代架构严重依赖 API， API 到 API 的通信（也称为东西向流量）甚至可能不会经过集中式安全控制。

有效的应用级 DoS 防护需要端到端的可视性和上下文，包括检测客户端异常和服务器端压力的能力。 高级第 7 层 DoS 攻击通常伪装成合法流量，因此速率限制、拒绝名单、签名和协议一致性等基本缓解措施已不再足够。

复杂的第 7 层攻击表面上看起来像合法流量，而基本的 WAF 缺乏检测它们所需的行为分析。 NGINX App Protect DoS 专门用于查看客户端异常和服务器压力，可以动态识别和缓解攻击并衡量缓解效果，而无需已经负担过重的安全团队的关注。

如果您仅依赖基本的 WAF 防御和传统的 DDoS 缓解措施，您将无法对第 7 层攻击获得适当的可见性和背景信息，并且潜在后果是巨大的 - 延迟、停机、收入放弃和品牌受损。 通过行为分析，可以不断分析客户端异常和服务健康状况，以检测零日 DoS 攻击。 仔细观察网站行为使我们能够回答以下问题： 与基线交通模式相比，有什么异常吗？ 尽管请求似乎来自浏览器，但它是否缺少我们期望浏览器包含的信息？ 该请求是否包含导致高 CPU 利用率的复杂数据库查询？

通过构建正常性能和行为的图像，NGINX App Protect DoS 可以专注于逃避传统防御并造成应用压力的第 7 层攻击。

使用多个模块缓解

DoS 攻击的结果没有改变：性能缓慢、用户沮丧、收入损失。 但 DoS 攻击发生的方式可能非常不同，黑客使用加密和安全工具将其威胁伪装成合法流量。

虽然您的用户可能无法分辨出架构之间的差异，但他们可以分辨出网站性能的好坏。 大量的攻击流量会造成延迟，让用户体验变得缓慢。 速度太慢，即使是最有耐心的用户（但耐心并不多！）也会放弃交易并转到其他网站。 单一的、有针对性的请求可能会导致延迟和服务器压力，因此专门的应用DoS 保护至关重要。

Web应用安全解决方案不断发展，以应对新的攻击，例如OWASP 针对 Web应用的自动威胁中概述的攻击。 但是您需要能够原生集成到应用运行时中的保护。 一些动态的东西。 一些适应性强的东西。 虽然其他 DoS 解决方案可能专为SYN洪水等网络 DDoS 攻击而设计，但 NGINX App Protect DoS 解决方案专门针对对应用资源造成压力的第 7 层攻击。 结合 WAF 和第 7 层 DoS 解决方案可确保应用免受漏洞利用和业务逻辑滥用的侵害 - 防止入侵以及延迟、性能下降和停机。

目前，商业活动基本上都在网上进行。 现在大多数人都在线。 您需要使它成为一个安全且有保障的地方。 通过结合NGINX App Protect WAF和NGINX App Protect DoS模块，您可以获得适合您的环境、应用和业务的强大保护。

亲自试用 NGINX App Protect – 立即开始30 天免费试用或联系我们讨论您的用例。