應(yīng)用層DDoS攻擊的剖析與防御

應(yīng)用層DDoS攻擊的剖析與防御1.Net-DDoS進(jìn)犯與App-DDoS進(jìn)犯按進(jìn)犯所對(duì)準(zhǔn)的網(wǎng)絡(luò)層次可以把DDoS進(jìn)犯分為：網(wǎng)絡(luò)層DDoS（Net-DDoS）進(jìn)犯和App-DDoS進(jìn)犯。Net-DDoS進(jìn)犯首要是運(yùn)用了現(xiàn)有低層（包羅IP層和TCP層）協(xié)議的縫隙來(lái)發(fā)起進(jìn)犯。典型的進(jìn)犯辦法是：運(yùn)用假造IP地址的進(jìn)犯節(jié)點(diǎn)向方針主機(jī)發(fā)送很多進(jìn)犯分組（TCP、ICMP、UDP等分組），運(yùn)用TCP的三次握手機(jī)制使方針效勞器為保護(hù)一個(gè)十分大的半敞開(kāi)銜接列表而消耗十分多的CPU和內(nèi)存資源，結(jié)尾因?yàn)閭}(cāng)庫(kù)溢出而招致系統(tǒng)潰散無(wú)法為正常用戶供給效勞。App-DDoS進(jìn)犯雖然仍是運(yùn)用洪水式的進(jìn)犯辦法，但與Net-DDoS進(jìn)犯紛歧樣的是它運(yùn)用了高層協(xié)議，例如HTTP。因?yàn)楦邔訁f(xié)議的多樣性與雜亂性，App-DDoS進(jìn)犯很難被檢測(cè)到，而且高層協(xié)議通常具有較強(qiáng)的功用，可以完成多種雜亂的功用，因而App-DDoS進(jìn)犯所發(fā)作的損壞力遠(yuǎn)大于傳統(tǒng)的Net-DDoS進(jìn)犯。App-DDoS進(jìn)犯有以下兩種進(jìn)犯辦法：帶寬耗盡型和主機(jī)資源耗盡型。帶寬耗盡型（例如HTTPFlooding）的方針是顛末很多合法的HTTP懇求占用方針網(wǎng)絡(luò)的帶寬，使正常用戶無(wú)法進(jìn)行Web拜訪。進(jìn)犯的詳細(xì)完成可以有多種紛歧樣的辦法。進(jìn)犯者可以顛末單線程或多線程向方針Web效勞器發(fā)送很多的HTTP懇求，這些懇求可以隨機(jī)生成也可以顛末阻攔用戶的正常懇求序列然后重放發(fā)作。懇求內(nèi)容可所以Web效勞器上的正常頁(yè)面（例如主頁(yè)），也可所以重定向頁(yè)面、頭信息或某些過(guò)錯(cuò)文檔，更雜亂的可所以對(duì)動(dòng)態(tài)內(nèi)容、數(shù)據(jù)庫(kù)查詢的懇求。進(jìn)犯者乃至可以仿照搜索引擎選用遞歸辦法，即從一個(gè)給定的HTTP鏈接開(kāi)端，然后以遞歸的辦法順著指定網(wǎng)站上一切的鏈接拜訪，這也叫爬蟲(chóng)下載（spidering）。主機(jī)資源耗盡型與HTTPFlooding紛歧樣，其意圖是為了耗盡方針主機(jī)的資源（例如：CPU、存儲(chǔ)器、Socket等）。進(jìn)犯者用少數(shù)的HTTP懇求促進(jìn)效勞器回來(lái)大文件（例如圖畫(huà)、視頻文件等），或促進(jìn)效勞器運(yùn)轉(zhuǎn)一些雜亂的腳本順序（例如雜亂的數(shù)據(jù)處置、暗碼核算與驗(yàn)證等）。這種辦法不需求很高的進(jìn)犯速率就可以敏捷耗盡主機(jī)的資源，而且更具有隱蔽性。

與傳統(tǒng)根據(jù)低層協(xié)議的DDoS進(jìn)犯比擬，App-DDoS進(jìn)犯具有以下特色：首要，它運(yùn)用了高層協(xié)議（HTTP）完成。許多根據(jù)Web的運(yùn)用（例如HTTP或HTTPS）顛末敞開(kāi)的TCP端口（如TCP端口80與443）為客戶供給效勞，因而低層的檢測(cè)系統(tǒng)很難判別顛末這些敞開(kāi)端口的用戶懇求是來(lái)自于正常用戶仍是來(lái)自于進(jìn)犯者。這招致對(duì)準(zhǔn)Web運(yùn)用的App-DDoS進(jìn)犯懇求可以順暢穿越根據(jù)低層協(xié)議的檢測(cè)系統(tǒng)，顛末敞開(kāi)的TCP80端口直接抵達(dá)Web效勞器或網(wǎng)絡(luò)數(shù)據(jù)庫(kù)（見(jiàn)圖1）。Web落戶端Web落戶端圖1App-DDoS進(jìn)犯流其次，因?yàn)锳pp-DDoS進(jìn)犯是以高層信息流（HTTP流）作為進(jìn)犯手法，其完成是以正常TCP銜接和IP分組為條件，因而構(gòu)成進(jìn)犯的HTTP流不具備傳統(tǒng)DDoS進(jìn)犯的標(biāo)志性特征（例如：TCP半敞開(kāi)銜接和變形IP數(shù)據(jù)報(bào)等），而且它無(wú)法選用虛偽IP地址（虛偽IP地址無(wú)法樹(shù)立有用的TCP銜接）的辦法。越來(lái)越多的主機(jī)（包羅小我主機(jī)和公司大型主機(jī)）全天候地銜接互聯(lián)網(wǎng)，為這種進(jìn)犯供給了有利的條件和環(huán)境。此外，因?yàn)楦邔拥男诤蛥f(xié)議差異很大，App-DDoS進(jìn)犯可以有多種紛歧樣的辦法，而且一個(gè)簡(jiǎn)略的HTTP懇求往往可以觸發(fā)效勞器履行一系列雜亂的操作，例如：數(shù)據(jù)庫(kù)查詢、暗碼驗(yàn)證等，所以顛末很多傀儡機(jī)向方針發(fā)送海量分組的進(jìn)犯辦法并不是App-DDoS進(jìn)犯的專(zhuān)一挑選，它可以用低速率的懇求、少數(shù)的進(jìn)犯節(jié)點(diǎn)完成傳統(tǒng)DDoS的進(jìn)犯效果，這給現(xiàn)有的檢測(cè)帶來(lái)了很大艱難。2004年的蠕蟲(chóng)病毒“Mydoom”及其后來(lái)的變體“Mytob”就是典型的HTTPFlooding進(jìn)犯案例，而且也顯示出當(dāng)前DDoS進(jìn)犯的開(kāi)展趨勢(shì)。該病毒選用了常用的Web效勞器懇求技能，顛末仿照閱覽器IE的懇求文本，使Web效勞器難以區(qū)別正常的和反常的HTTP懇求，然后進(jìn)步了進(jìn)犯的損壞才干。因?yàn)橐磺械倪M(jìn)犯懇求都是由合法分組構(gòu)成，不具備傳統(tǒng)DDoS進(jìn)犯流的特征，因而進(jìn)犯懇求順暢穿越一切根據(jù)IP層和TCP層的檢測(cè)系統(tǒng)，結(jié)尾招致SCO和微軟等聞名網(wǎng)站的效勞器潰散。DDoS的進(jìn)犯環(huán)境DDoS進(jìn)犯地點(diǎn)的布景環(huán)境可以分為：平穩(wěn)布景流環(huán)境和突發(fā)流環(huán)境。平穩(wěn)布景流是指那些流量隨時(shí)刻改變不大的網(wǎng)站，許多通常網(wǎng)站的流量都具有平穩(wěn)的特性。突發(fā)流是現(xiàn)代網(wǎng)絡(luò)流的一種新表象，近幾年開(kāi)端遭到網(wǎng)絡(luò)研討者的重視。關(guān)于Web運(yùn)用來(lái)說(shuō)，突發(fā)流是指海量的正常Web用戶一起拜訪某一特別的網(wǎng)站，然后招致Web效勞器的拜訪量和關(guān)聯(lián)網(wǎng)絡(luò)的流量發(fā)作宏大的動(dòng)搖。典型的突發(fā)流案例包羅：1998年世界杯Web網(wǎng)站，2000年悉尼奧運(yùn)會(huì)網(wǎng)站，2000、2001、2002年澳大利亞網(wǎng)球公開(kāi)賽等體育網(wǎng)站的拜訪流量隨競(jìng)賽日程表呈現(xiàn)的顯著動(dòng)搖；“911”恐怖襲擊后CNN網(wǎng)站拜訪量的突增；Linux“紅帽子”發(fā)布的首天，發(fā)布網(wǎng)站的拜訪量呈現(xiàn)戲劇性的動(dòng)搖等?？梢圆聹y(cè)，跟著Web運(yùn)用的不斷推行，平穩(wěn)布景流不再是互聯(lián)網(wǎng)流量的專(zhuān)一特征，具有突發(fā)流特征的Web網(wǎng)站將不斷地添加，例如：網(wǎng)上拍賣(mài)活動(dòng)、視頻點(diǎn)播、大型活動(dòng)的現(xiàn)場(chǎng)直播等。而且網(wǎng)絡(luò)技能的開(kāi)展也為突發(fā)流供給了有利的條件，例如近年風(fēng)行全球的P2P就是一種具有典型突發(fā)流特性的網(wǎng)絡(luò)。與傳統(tǒng)的平穩(wěn)數(shù)據(jù)流紛歧樣，突發(fā)流嚴(yán)重影響著通訊網(wǎng)絡(luò)和設(shè)備的功用，因而，怎么有用處置突發(fā)流及區(qū)別躲藏于突發(fā)流中的DDoS進(jìn)犯將成為網(wǎng)絡(luò)研討中的新問(wèn)題。紛歧樣DDoS進(jìn)犯的檢測(cè)根據(jù)上述剖析，可以把現(xiàn)有的DDoS進(jìn)犯劃分為以下4種種類(lèi)：平穩(wěn)布景流下的Net-DDoS進(jìn)犯；平穩(wěn)布景流下的App-DDoS進(jìn)犯；突發(fā)流下的Net-DDoS進(jìn)犯；突發(fā)流下的App-DDoS進(jìn)犯。平穩(wěn)布景流下的Net-DDoS進(jìn)犯檢測(cè)是當(dāng)前研討得最多、最老練的一種，而且現(xiàn)已有許多有用的檢測(cè)計(jì)劃，這些計(jì)劃首要顛末TCP段或IP包的頭信息完成進(jìn)犯檢測(cè)。例如：Cabrera等根據(jù)MIB(辦理信息數(shù)據(jù)庫(kù))把ICMP、UDP和TCP的分組核算反常映射到特定的DDoS進(jìn)犯，顛末匹配剖析實(shí)測(cè)分組特點(diǎn)與特定DDoS進(jìn)犯的反常特征來(lái)完成檢測(cè)；Jin等假定DDoS的進(jìn)犯源是虛偽IP地址，顛末抵達(dá)分組的IP地址與TTL(生計(jì)時(shí)刻)來(lái)判別能否存在根據(jù)虛偽IP地址的DDoS進(jìn)犯。Kim等核算抵達(dá)分組在給定的正常流形式下合法性的或然概率，顛末或然概率檢測(cè)DDoS進(jìn)犯；Chen等顛末檢測(cè)抵達(dá)分組流在頻率域中特定頻率點(diǎn)的反常完成脈沖式進(jìn)犯的檢測(cè)。平穩(wěn)布景流下的App-DDoS進(jìn)犯檢測(cè)/防護(hù)可以有以下的辦法：懇求速率/QoS控制Ranjan等運(yùn)用核算辦法判別每個(gè)HTTP會(huì)話的反常性，然后顛末控制HTTP速率抵擋進(jìn)犯。根據(jù)“Puzzle”的辦法Kandula等運(yùn)用根據(jù)“Puzzle”的辦法完成App-DDoS進(jìn)犯的檢測(cè)與防護(hù)，它的首要思路是：進(jìn)犯常常是由順序履行，而順序只能按預(yù)先描繪的計(jì)劃進(jìn)行，不具有人的智能性，因而，當(dāng)置疑效勞器處于進(jìn)犯要挾時(shí)，可以生成一些簡(jiǎn)略的問(wèn)題需求用戶答復(fù)，若是回來(lái)的成果正確闡明是正常用戶，不然就是進(jìn)犯源。根據(jù)“攻逼”的防護(hù)辦法Walfish等以為，顛末觸發(fā)一切的客戶(包羅正常用戶與進(jìn)犯者)進(jìn)步其懇求速率可以有用架空進(jìn)犯者。其根據(jù)是進(jìn)犯發(fā)作時(shí)，進(jìn)犯者通?，F(xiàn)已耗盡自身的鏈路帶寬，而正常用戶的帶寬有較大的冗余，因而進(jìn)步正常用戶的懇求速率可以有用下降進(jìn)犯者對(duì)效勞器入口處的帶寬占有率。關(guān)于突發(fā)流下的Net-DDoS進(jìn)犯檢測(cè)可以運(yùn)用正常流與反常流的特征差異完成。這是因?yàn)殡m然突發(fā)流的流量很大，可是組成正常突發(fā)流的IP分組及相應(yīng)的TCP銜接都是正常，而用于Net-DDoS進(jìn)犯的分組或銜接通常都具有以下的特征:變形布局的IP分組、不完整的TCP銜接等。因而，這一特征也可以有用用于進(jìn)犯的檢測(cè)與過(guò)濾。從現(xiàn)有的研討看，對(duì)準(zhǔn)突發(fā)流環(huán)境下的App-DDoS進(jìn)犯檢測(cè)進(jìn)行研討的文獻(xiàn)并不多見(jiàn)。因?yàn)橥话l(fā)性與大流量是突發(fā)流與App-DDoS進(jìn)犯的一起特征，因而，傳統(tǒng)用于處置DDoS進(jìn)犯的懇求速率/QoS控制辦法并不能有用區(qū)別正常突發(fā)流用戶的懇求與App-DDoS進(jìn)犯懇求。這是因?yàn)椋菏滓瑢?duì)會(huì)聚流進(jìn)行速率監(jiān)控只能起到預(yù)警的效果，無(wú)法區(qū)別出進(jìn)犯懇求分組，若是選用隨機(jī)丟掉客戶懇求分組的辦法減輕效勞器端的Web流量有能夠把正常用戶的懇求丟掉然后影響合法用戶的拜訪。其次，因?yàn)锳pp-DDoS可以選用低速的進(jìn)犯辦法（例如：雜亂的腳本順序與數(shù)據(jù)庫(kù)查詢），因而速率控制紛歧定能包管有用，而且速率控制通常只能適用于具有平穩(wěn)特性的流的檢測(cè)，無(wú)法運(yùn)用于突發(fā)流和App-DDoS進(jìn)犯流一起發(fā)作的場(chǎng)景。對(duì)每個(gè)Web用戶別離進(jìn)行HTTP懇求速率監(jiān)控也缺乏以有用檢測(cè)App-DDoS進(jìn)犯，因?yàn)檫M(jìn)犯者可以運(yùn)用現(xiàn)有的東西對(duì)進(jìn)犯流進(jìn)行成形，例如：選用間歇性脈沖辦法的低速率進(jìn)犯，在脈沖時(shí)刻選用較高的速率進(jìn)犯，脈沖完畢后，進(jìn)犯暫停等候下一個(gè)進(jìn)犯脈沖的到來(lái)，這使每個(gè)進(jìn)犯節(jié)點(diǎn)的均勻懇求速率十分低，不簡(jiǎn)略被檢測(cè)。再次，對(duì)現(xiàn)代Web效勞器及網(wǎng)絡(luò)，跟著用戶端帶寬和Web頁(yè)面雜亂性的不斷增加，正常用戶的每次點(diǎn)擊閱覽行動(dòng)有能夠發(fā)作每秒幾十個(gè)HTTP懇求，這種速率現(xiàn)已與“Mydoom”的進(jìn)犯速率適當(dāng)?，F(xiàn)有根據(jù)流特征的檢測(cè)辦法通常隱含假定條件：進(jìn)犯流與正常流存在核算上的差異，可是這個(gè)假定并不適用于突發(fā)流環(huán)境下的App-DDoS進(jìn)犯檢測(cè)。因?yàn)锳pp-DDoS進(jìn)犯者可以運(yùn)用HTTP仿真東西安排進(jìn)犯流，使進(jìn)犯流仿照正常用戶的懇求流特性（包羅HTTP懇求速率、TCP銜接特性、IP分組流特性等），因而，上述根據(jù)流特性的檢測(cè)辦法也不適用于這一類(lèi)進(jìn)犯。Jung等運(yùn)用兩個(gè)特點(diǎn)區(qū)別DoS進(jìn)犯和正常突發(fā)流：DoS進(jìn)犯是由少數(shù)進(jìn)犯主機(jī)急劇增加的懇求率發(fā)作，而正常突發(fā)流是由客戶數(shù)量的增加構(gòu)成的；DoS進(jìn)犯者通常是新用戶，而正常突發(fā)流下的用戶通常在突發(fā)流發(fā)作前都拜訪過(guò)該網(wǎng)站。因而顛末束縛每個(gè)拜訪客戶機(jī)可運(yùn)用的資源（如：TCP銜接數(shù)、占用CPU時(shí)刻、占用緩存巨細(xì)及用戶呼應(yīng)時(shí)刻）及比擬新客戶的比率來(lái)區(qū)別DoS進(jìn)犯和正常突發(fā)流?？墒?，關(guān)于現(xiàn)代網(wǎng)絡(luò)而言，這種辦法的效果并不顯著。首要，Web運(yùn)用的客戶數(shù)量很大，因而不能夠逐個(gè)斷定每個(gè)客戶可運(yùn)用的合法資源數(shù)量，而且假定進(jìn)犯由少數(shù)節(jié)點(diǎn)發(fā)作只能適用于傳統(tǒng)的DoS進(jìn)犯，跟著網(wǎng)絡(luò)的普及化，這種假定不適用于現(xiàn)代高速網(wǎng)絡(luò)下的DDoS進(jìn)犯。近期的互聯(lián)網(wǎng)查詢發(fā)現(xiàn)，現(xiàn)代的DDoS進(jìn)犯通常與“僵尸網(wǎng)絡(luò)”聯(lián)系在一起，因而進(jìn)犯者自身就能構(gòu)成一個(gè)巨大的網(wǎng)絡(luò)。別的，僅顛末IP地址區(qū)別進(jìn)犯也是不可行，因?yàn)锳pp-DDoS進(jìn)犯懇求通常由病毒順序發(fā)作，而病毒順序有能夠駐留在合法的客戶機(jī)上。根據(jù)“Puzzle”的辦法雖然具有檢測(cè)與防護(hù)的功用，可是一樣具有一些缺乏：需求得到客戶端的撐持；會(huì)攪擾Web用戶的正常閱覽；沒(méi)有辦法處置進(jìn)犯順序與正常用戶同處于一個(gè)終端的狀況；有能夠招致互聯(lián)網(wǎng)中的搜索引擎和緩存/署理等無(wú)法正常作業(yè)；因?yàn)楦鶕?jù)“Puzzle”的辦法需求消耗很多效勞器的資源（CPU核算、內(nèi)存等），在突發(fā)流環(huán)境下，難以實(shí)時(shí)處置海量的用戶信息，而且其自身很簡(jiǎn)略成為DDoS進(jìn)犯的方針。根據(jù)“攻逼”的辦法一樣需求客戶端的撐持，而且它的別的一個(gè)假定是效勞器入口處具有滿足的帶寬，這在實(shí)踐網(wǎng)絡(luò)中是不能夠完成的。由此可見(jiàn)，單靠傳統(tǒng)的分組特征、流特征、速率剖析來(lái)檢測(cè)與控制突發(fā)流環(huán)境下的App-DDoS進(jìn)犯是不敷的。4.根據(jù)拜訪行動(dòng)的防護(hù)依照網(wǎng)絡(luò)分層模型的理論，紛歧樣層次的信息流應(yīng)該在對(duì)應(yīng)的層次進(jìn)行處置。App-DDoS是一種高層進(jìn)犯行動(dòng)，簡(jiǎn)略地顛末判別每一個(gè)進(jìn)入效勞器的IP分組、TCP銜接來(lái)完成高層進(jìn)犯檢測(cè)顯然是不敷的，而孤登時(shí)判別每一個(gè)HTTP懇求的正常性也缺乏以有用地檢測(cè)App-DDoS進(jìn)犯。對(duì)準(zhǔn)App-DDoS進(jìn)犯的檢測(cè)系統(tǒng)應(yīng)該樹(shù)立在對(duì)應(yīng)的層次才干獲取滿足的檢測(cè)信息，而且尋覓有用的觀測(cè)信號(hào)來(lái)完成檢測(cè)，如圖2所示。/?應(yīng)用晝/HTTP泛洪 ~后有慮測(cè)K/yL\>lWeb$YX泛洪日匯TCP檢仙匕二*尸服.務(wù)器.//KICMP泛洪 分組過(guò)濾 .技術(shù)成就蓄想圖2紛歧樣層次的檢測(cè)機(jī)制Web發(fā)掘的研討指出顛末對(duì)Web用戶的拜訪頁(yè)面進(jìn)行內(nèi)容監(jiān)控和剖析，可以發(fā)掘出用戶的愛(ài)好，而且其他一些研討也指出一個(gè)Web網(wǎng)站僅有10%的內(nèi)容被客戶高頻拜訪（約90%），而且文件被拜訪的概率呈Zipf散布。這闡明雖然拜訪者各紛歧樣，可是在必定的時(shí)期內(nèi)他們對(duì)給定的Web效勞器的拜訪愛(ài)好和拜訪行動(dòng)是十分近似的。已有的研討也標(biāo)明，關(guān)于突發(fā)流的場(chǎng)景，劇增的流量首要是因?yàn)橛脩魯?shù)量的增加而發(fā)作的，紛歧樣用戶的拜訪行動(dòng)（包羅用戶的拜訪焦點(diǎn)、點(diǎn)擊Web頁(yè)面的次第、閱覽時(shí)刻距離等）卻是十分近似的，所以高層的Web用戶拜訪行動(dòng)特征可以作為App-DDoS進(jìn)犯檢測(cè)的有用信號(hào)。下面進(jìn)一步評(píng)論這種辦法的有用性。用戶的拜訪行動(dòng)可以由3個(gè)要素描繪：HTTP懇求速率、頁(yè)面閱覽時(shí)刻和懇求方針序列（包羅懇求方針與各懇求的先后次第）。因而，App-DDoS進(jìn)犯者（或許具有必定智能的進(jìn)犯順序）可以從這3個(gè)方面仿照正常用戶行動(dòng)：小的HTTP懇求速率、大的頁(yè)面閱覽時(shí)刻和仿真的HTTP懇求序列。前兩者會(huì)下降進(jìn)犯效果，而且只能顛末添加被感染的核算機(jī)來(lái)補(bǔ)償，進(jìn)步了進(jìn)犯難度。仿真HTTP懇求序列包羅兩方面內(nèi)容：（1） 仿真正常HTTP的流特征這可以顛末HTTP仿照東西完成，顛末這種辦法構(gòu)成的進(jìn)犯流具有通常正常流的特征特點(diǎn)（例如：抵達(dá)率、閱覽時(shí)刻），因而不簡(jiǎn)略被檢測(cè)出來(lái)。（2） 仿真正常用戶的HTTP懇求方針簡(jiǎn)略的辦法能夠有4種：隨機(jī)生成、預(yù)設(shè)、在線阻攔并重放懇求序列或許直接控制。榜首種辦法是由進(jìn)犯順序隨機(jī)生成懇求方針或許隨機(jī)點(diǎn)擊鏈接。因?yàn)槭请S機(jī)生成，所以其拜訪的內(nèi)容與正常用戶比擬將不具有清晰的意圖性。第二種辦法是由進(jìn)犯順序預(yù)先設(shè)定一個(gè)進(jìn)犯的HTTP懇求序列，所表現(xiàn)出來(lái)的特征是周期性地重復(fù)閱覽某些一樣的頁(yè)面方針。第三種辦法是阻攔地點(diǎn)客戶機(jī)的懇求片斷然后重放，可是因?yàn)楸桓腥镜目蛻魴C(jī)紛歧定會(huì)拜訪被進(jìn)犯方針的Web效勞器，因而這種辦法并不能到達(dá)預(yù)期的進(jìn)犯效果。第四種辦法是進(jìn)犯者設(shè)置一個(gè)中心控制點(diǎn)，周期性與病毒順序通訊，并發(fā)布新的HTTP進(jìn)犯懇求序列。但因?yàn)檫@種辦法需求不斷和控制點(diǎn)通訊，簡(jiǎn)略露出控制者地點(diǎn)位置，而且這種外部銜接簡(jiǎn)略被客戶機(jī)上的病毒檢測(cè)系統(tǒng)或許防火墻所發(fā)覺(jué)和阻斷。從收集到的材料看，當(dāng)前現(xiàn)已呈現(xiàn)的，也是最簡(jiǎn)略有用的進(jìn)犯辦法是運(yùn)用HTTP中的“GET/”辦法直接懇求網(wǎng)站主頁(yè)。它僅需求方針網(wǎng)站的域名而不需求指定詳細(xì)的方針文件名，因而簡(jiǎn)化了進(jìn)犯順序。別的，主頁(yè)通常是網(wǎng)站上被高頻拜訪的頁(yè)面，因而顛末懇求主頁(yè)發(fā)起的DDoS進(jìn)犯不簡(jiǎn)略被檢測(cè)到。可見(jiàn)，雖然進(jìn)犯者可以仿照閱覽器發(fā)送HTTP懇求，并顛末仿真東西從頭結(jié)合進(jìn)犯流的流特性，使其挨近客戶的流特性，可是它一直無(wú)法實(shí)時(shí)、動(dòng)態(tài)地盯梢和仿照正常用戶的拜訪行動(dòng)，因?yàn)橹灰猈eb效勞器記載了一切拜訪者的拜訪記載，而這些剖析成果是進(jìn)犯者無(wú)法獲取的。根據(jù)用戶行動(dòng)的App-DDoS進(jìn)犯檢測(cè)辦法如圖3所示。首要，運(yùn)用很多正常用戶的前史拜訪記載樹(shù)立用戶的Web拜訪概括（profile），現(xiàn)有的Web發(fā)掘技能可以完成這一功用。其次，運(yùn)用樹(shù)立的Web拜訪概括比擬待丈量用戶拜訪行動(dòng)的違背程度，依照違背程度的巨細(xì)對(duì)紛歧樣Web用戶的懇求進(jìn)行排隊(duì)，違背程度小的優(yōu)先得到效勞器的呼應(yīng)，違背程度大的在資源嚴(yán)重時(shí)將被丟掉?？紤]到App-DDoS進(jìn)犯是樹(shù)