使用 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）保护应用程序免受 DDoS 和 API 攻击

DDoS 攻击一直是人们关注的问题，但是是什么原因导致其持续存在呢？

包括Zayo Group最近的一份报告在内的多家安全行业出版物都指出，由于乌克兰战争和当前的地缘政治局势，今年 DDoS 攻击激增。 这导致了随后对企业的攻击，特别是政府和金融部门。​这些类型的 DDoS 攻击可能是由民族主义黑客行动主义引起的。 ​Securelist.com还指出，与去年同期相比，2022 年第一季度的 DDoS 攻击量增长了 4.5 倍，超过 250 Gbps 的 DDoS 攻击量增长了 1300%。

让我们看看常见的 DDoS 攻击以及它们目前的用途。 

DDoS 攻击有几十种不同的类型。 业界公认的三个最常见的类别是容量法、协议法、 和应用层，但存在一些重叠。

容量耗尽攻击或洪水攻击是最常见的 DDoS 攻击类型。 它们向目标受害者的网络发送大量流量（通常是大数据包），以消耗大量带宽，导致用户无法访问。​

协议攻击（有时称为“计算”或“网络”攻击）通过压倒第 3 层和第 4 层网络设备的计算能力来拒绝服务。 这些攻击通常具有“高数据包速率”和微小数据包，攻击者通常试图通过发送过多的数据包来压垮 CPU 或防火墙等设备。 这样，带宽量通常保持“较低”水平，并且可以不被云服务所关注。​

应用层攻击，或第 7 层攻击，使用特定的数据包类型或连接请求来消耗有限的资源，例如占用最大打开的连接数、可用内存或 CPU 时间。 典型的应用层攻击会发送 HTTP/S 流量来消耗资源并妨碍 Web 应用程序或网站传递内容的能力，暂时禁用它或导致其崩溃，从而使用户无法访问该网站或应用。 F5 Labs 2023 年 DDoS 攻击趋势报告指出，“应用向量攻击急剧增长，2022 年增长了 165%。”

​许多第 7 层 DDoS 攻击都是隐秘的，可能无法被传统签名和基于信誉的解决方案检测到。 F5 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）使用机器学习、压力监控、动态签名和攻击缓解来防御这些攻击。 例如，BIG-IP Advanced WAF（API 安全 - 新一代 WAF）会自动学习应用程序的行为，然后将流量的行为启发式方法与服务器压力相结合，以识别 DDoS 条件。 创建并部署动态签名以实现实时保护。 此过程可提供最准确的检测，同时最大限度地减少误报。 作为反馈回路的一部分，服务器健康状况受到持续监控，以确保缓解效果。

DDoS 和 API 安全风险对各个领域的组织构成持续威胁。 去年， CSO 安全研究人员警告称，API 的使用日益增多为攻击者提供了更多方法来突破身份验证控制、窃取数据或执行破坏性行为，从而推动API 安全成为组织的一项要求。

API 是当今现代商业的核心。 API 提供对业务技术和数据的访问权限以推动其业务发展，这对于许多组织来说是无法实现的。 我们看到与 API 相关的攻击有所增加，这并不奇怪。

API 安全的持续方法是管理与执行的结合。 安全 API 交付有三个核心组件——发现（积极的安全/API 规范验证、身份验证状态、敏感数据等）、监控（能够管理流量检查）和安全（针对 API 的威胁防护，包括针对已知威胁的防护、异常检测、DoS 防御、安全结构、协议和内容验证等）。

F5 WAF 产品组合为您提供了这三个要素，但其独特之处在于，我们可以通过使用单一解决方案和供应商简化操作来保护云端和本地的 API。 我们还可以帮助您进行 API 态势管理——通过降低复杂性，因为我们提供对 API 流量的可见性、强制安全措施并降低风险补救。

当今，许多企业需要多种部署模型来最好地解决应用安全性问题并确保其部署尽可能靠近其应用程序。 这可能会使这些组织难以跨不同形式因素一致地执行和管理策略。 F5 解决了这一挑战，使您能够确保一致的策略实施和管理，无论您是在本地、云中、作为 SaaS 还是作为安全即代码部署WAF 。 无论您的应用程序位于何处以及 WAF 部署在何处，F5 都能帮助您保护应用程序和 API。 随着您的应用程序开发和环境需求的变化，安全策略可以轻松地从一个 WAF 移植到另一个 WAF，从而实现跨混合和多云环境的、针对您企业独有的交钥匙、简化、适应性强的应用程序和 API 安全性。

有关开始使用 F5 的更多信息，请试用我们的 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）模拟器或30 天免费试用版 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）示例。