QQ常用的登录办法

据国外媒体报道，一组来自格勒诺布尔理工学院和CTP 法国纸业技术中心的科学研究人员已经成功研发出一种新型的抗WiFi 墙纸，该种墙纸将于2013年上市发售。这种新型的抗WiFi 墙纸看起来和像普通的墙

据国外媒体报道，一组来自格勒诺布尔理工学院和CTP 法国纸业技术中心的科学研究人员已经成功研发出一种新型的抗WiFi 墙纸，该种墙纸将于2013年上市发售。这种新型的抗WiFi 墙纸看起来和像普通的墙纸区别不大，但是它内部包涵的是银纳米粒子，该粒子使得墙纸可以同时滤出高达3种不同的频率。

不过，这种技术并不是首次面世的，2004年的时候，BAE Systems公司曾经受命英国通信办公室推出过类似的解决方案，当时的墙纸采用的是铜纳米粒子，在隔绝WiFi 信号的同时，允许GSM ，4G 信号穿过墙纸，可惜售价很高，一平方米大约500英镑。

相比之下，法国科学家最新研发的WiFi 墙纸的售价要合理许多，格勒诺布尔理工学院的一名科研人员称，抗WiFi 墙纸的售价将只会比市场上中端普通墙纸贵一点。而且抗WiFi 墙纸除了可以用在四周的墙壁之外，还可以用于地板以及天花板，进一步防止WiFi 信号泄露，提高网络安全性。

消息还报道称，这种墙纸除了能够有效阻止黑客监测网络，提升安全性之外，其实还可以在医院或者其他将WiFi 视为有害物质的地方使用。

随着计算机与网络技术的发展，对恶意攻击包的消化处理能力增强，一对一的Dos 攻击基本失效；高速广泛连接的网络，也使得傀儡机的选择范围更大更灵活。分布式拒绝服务攻击手段DDos 利用更多的傀儡机发起更大规模的进攻，通过向服务器提交大量请求，使其过载，干扰甚至阻断正常的网络通信。

清理攻击机上的日志是个庞大的工程，如果弄不干净，容易揪出黑客；如果控制用的是傀儡机，从控制机找到黑客的可能性大大降低，清理日志也轻松得多。

攻击目标时，黑客需要了解的有被攻击目标主机的数目、地址、配置、性能和带宽。一个大的网站很可能有多台主机利用负载均衡技术提供一个网站的www 服务，举个例子，66.218.71.89/88/81/83/84/86都提供服务，如果进行DDos 攻击，应该攻击哪个地址？如果使87瘫掉，其他主机还能提供服务，如果要使访问不到该网站，就必须是这些IP 地址的机器都瘫掉。而每个IP 地址往往代表数台机器，使用了4层或者7层交换机来做均衡负载。所以事先搜集情报对DDos 攻击者是至关重要的，判断使用多少傀儡机才能生效；但实际中黑客多半不进行情报搜集直接进行DDos 攻击。

攻击发生后，网站上不去了，但可以访问到管理界面，执行命令：

netstat-antp

看到有大量的链接存在着，并且都是ESTABLISHED 状态，正常状态下我们的网站访问量没有这么高，这样的情况处理比较简单，这是一次四层的攻击，也就是所有ip 都是真实的，由于目前为止只是消耗了webserver 的网络连接资源，所以只需要简单的将这些ip 在网络层封禁就可以

然后一分钟执行一次即可，很快，iptables 的封禁列表就充斥了大量的封禁ip ，为了保证系统的性能，调大系统的可接受的连接数以及对Nginx 进行了每个连接能够进行的请求速率，系统恢复正常的运行。

正常状态一直持续到第二天，但是到中午之后发现网络很慢，使用ping 发现大概出现了70左右的丢包，在艰难的登陆到系统上之后，发现系统已经很少有TCP 的正常连接，为了查明原因，我们对系统进行了抓包：

tcpdump -w tmp.pcap port not 22

tcpdump -r tmp.pcap -nnA

我们发现攻击已经从应用层的攻击调整到了网络层的攻击，大量的目标端口是80的udp 和icmp 包以极快的速度充满了网络，一个包大小大概在1k 左右，这次占据的资源纯粹是带宽资源了，即使在系统上做限制也解决不了这个问题，不过也没有关系，对于网络层的问题我们可以在网络层上做限制，我们只需要在网络上把到达我们ip 的非TCP 的所有包如UDP 和ICMP 等协议都禁止掉即可，但是我们没有自己的服务器也缺乏对网络设备的控制权，目前是由工信部CERT 提供支持的，由于临时无法协调进行相应的操作，后果如大家看到，我们的服务很慢，基本上停止了服务，在一段时间之后攻击者停止了攻击，服务才进行了恢复，

很憋屈是么？但是同时我们得到了很多热心朋友的帮助，得到了更好的网络和服务器资源，在网络资源方面的能力得到了很大的提升，缓解了这方面的问题，这里对他们表示感谢。

三常见ddos 攻击及防御

继续秉承80sec 的”Know it then hack it”，这里简单谈一下ddos 攻击和防御方面的问题。ddos 的全称是分布式拒绝服务攻击，既然是拒绝服务一定是因为某些原因而停止服务的，其中最重要的也是最常用的原因就是利用服务端方面资源的有限性，这种服务端的资源范围很广，可以简单的梳理一个请求正常完成的过程：

1用户在客户端浏览器输入请求的地址

2浏览器解析该请求，包括分析其中的dns 以明确需要到达的远程服务器地址

3明确地址后浏览器和服务器的服务尝试建立连接，尝试建立连接的数据包通过本地网络，中间路由最终艰苦到达目标网络再到达目标服务器

4网络连接建立完成之后浏览器根据请求建立不同的数据包并且将数据包发送到服务器某个端口 5端口映射到进程，进程接受到数据包之后进行内部的解析

6请求服务器内部的各种不同的资源，包括后端的API 以及一些数据库或者文件等

7在逻辑处理完成之后数据包按照之前建立的通道返回到用户浏览器，浏览器完成解析，请求完成。 上面各个点都可以被用来进行ddos 攻击，包括：

1某些著名的客户端劫持病毒，还记得访问百度跳搜狗的事情么?

2某个大型互联网公司发生的dns 劫持事件，或者直接大量的dns 请求直接攻击dns 服务器，这里可以使用一些专业的第三方dns 服务来缓解这个问题，如Dnspod

3利用建立网络连接需要的网络资源攻击服务器带宽使得正常数据包无法到达如udp 的洪水攻击，消耗前端设备的cpu 资源以使得数据包不能有效转发如icmp 和一些碎片包的洪水攻击，消耗服务器方建立正常连接需要的资源如synflood 或者就是占用大量的连接使得正常的连接无法发起，譬如这次的TCPflood 4利用web server的一些特点进行攻击，相比nginx 来说，apache 处理一个请求的过程就比较笨重。 5利用应用程序内部的一些特性攻击程序内部的资源如mysql ，后端消耗资源大的接口等等，这也就是传统意义上的CC 攻击。

这里涉及到攻防的概念，但是实际上如果了解对方的攻击点和攻击手法，防御会变成简单的一个拼资源的过程，不要用你最弱的地方去抗人家最强的地方，应该从最合适的地方入手把问题解决掉，譬如在路由器等设备上解决应用层攻击就不是一个好的办法，同理，在应用层尝试解决网络层的问题也是不可能的，简单来说，目标是只让正常的数据和请求进入到我们的服务，一个完善的防御体系应该考虑如下几个层面：

1作为用户请求的入口，必须有良好的dns 防御

2与你的价值相匹配的带宽资源，并且在核心节点上布置好应用层的防御策略，只允许你的正常应用的网络数据包能够进入，譬如封杀除了80以外的所有数据包

3有支持你的服务价值的机器集群来抵抗应用层的压力，有必要的话需要将一个http 请求继续分解，将连接建立的过程压力分解到其他的集群里，这里似乎已经有一般的硬件防火墙能做这个事情，甚至将正常的http 请求解析过程都进行分解，保证到达后端的是正常的请求，剔除掉畸形的请求，将正常的请求的请求频度等行为进行记录和监控，一旦发生异常就在这里进行应用层的封杀

每个公司都有自己对自己价值的评估从而决定安全投入上的大小，每一次攻击也会涉及到利益的存在，正如防御因为种种原因譬如投入上的不足和实施过程中的不完美，有着天生的弱点一样，攻击也是有着天生的弱点的，因为每一次攻击涉及到不同的环节，每个环节都可能由不同水平的人完成，他所拥有的资源，他使用的工具和技术都不会是完美的，所以才有可能进行防御，另外，我相信进行DDOS 攻击的人是一个固定的行业，会有一些固定的人群，对于其中使用的技术，工具，资源和利益链都是比较固定的，与之相对的是各个企业却缺乏相应的沟通，以个人企业对抗一个产业自然是比较困难，而如果每一个企业都能将自己遭受攻击时的经验分享出来，包括僵尸网络的大小及IP 分布，攻击工具的特征，甚至有能力的可以去分析背后的利益点及操作者，那么每一次攻击都能让大家的整体防御能力上升，让攻击者的攻击能力有损失，我们很愿意来做这个事情。

四根源及反击

我困惑的是一点，攻击我们并不能得到实际的好处为什么还是有人来攻击，而且听说其他公司都有被攻击的情况，我觉得有一点原因就是攻击我们的确得不到什么好处，但是实际上攻击者也并不损失什么，无论是资源上还是法律风险上，他不会因为一次攻击而损失太多，而相比之下，服务提供者损失的东西却太多了，这从经济学角度来讲就是不平衡的，我们处于弱势。

一般而言，的确对于作恶者是没有什么惩罚措施，但是这次，我们觉得我们是可以做一些事情的，我们尝试挖掘背后的攻击者，甚至清除这个僵尸网络。

首先这次攻击起源于应用层的攻击，所以所有的ip 都是真实的，经过与CERT 沟通，也发现这些ip 都是韩国的，并且控制端不在国内，因为期间没有与国内有过通讯，即使在后面换成了udp icmp的flood ，但是依然是那些韩国的ip ，这很有意思，正常情况下udp icmp的数据包是可以伪造的，但是这里居然没有伪造，这在后面大概被我们证实了原因。

这些ip 是真实存在的ip ，而且这些ip 肯定在攻击完我们之后一定依然跟攻击者保持着联系，而一般的联系方式因为需要控制的方便都是dns 域名，既然如此，如果我们能挖掘到这个dns 域名我们就可能间接的挖掘出真正幕后黑手在哪里。首先，我们迅速的找出了这次攻击ip 中开放了80端口的机器，因为我们对80端口上的安全问题比较自信，应该很快可以获知这些ip 背后的细节（80sec 名称由来），我们发现大部分是一些路由器和一些web 的vpn 设备，我们猜测这次攻击的主要是韩国的个人用户，而个人用户的机器操作系统一般是windows 所以在较高版本上发送数据包方面可能有着比较大的限制，这也解释了为什么即使是udp icmp的攻击我们看到的大都是真实ip 。发现这些路由设备之后我们尝试深入得更多，很快用一些弱口令譬如admin/admin登陆进去，果然全世界的网民都一样，admin/admin是天生的入口。

登陆进去一些路由之后我们发现这些路由器里面存在一个功能是设置自己的dns ，这意味着这下面的所有dns 请求都可以被定向到我们自己设置的dns 服务器，这对于我们去了解内部网络的细节会很有用，于是我们建立了一个自己的dns 服务器，并且开启了dns 请求的日志功能以记录所有请求的细节。我们大约控制了20台路由器的dns 指向，并且都成功重定向到我们自己的服务器。

剩下的就是简单的数据分析，在这之前我们可以对僵尸网络的控制域名做如下的猜测：

1这个dns 应该为了灵活的控制域名的缓存时间TTL 一般不会特别长

2这个dns 应该是定期的被请求，所以会在dns 请求里有较大的出现比例

3这个dns 应该是为了控制而存在的，所以域名不应该在搜索引擎以及其他地方获得较高的访问指数，这与2中的规则配合起来会比较好确定，是一个天生的矛盾。

4这个dns 应该在各个路由下面都会被请求

这些通过简单的统计就很容易得出答案，我们发现了一些3322的通用恶意软件域名但是发现它并不是我们需要的，因为只有少数机器去访问到，经过一些时间之后最后我们发现一个域名访问量与naver （韩国的一个门户）的访问量持平，workgroup001.snow****.net，看起来似乎对自己的僵尸网络管理很好嘛，大概有18台机器访问过这个域名，这个域名的主机托管在新加坡，生存时间TTL 在1800也就是半小时，这个域名在所有的搜索引擎中都不存在记录，是一个韩国人在godady 一年前才注册的，同时我们访问这个域名指向主机的3389，简单的通过5下shift 就判断出它上面存在着一个典型的windows 后门，似乎我们找到它了，不是么？经过后续的观察，一段时间后这个域名指向到了127.0.0.1，我们确信了我们的答案,workgroup001.snow****.net，看起来似乎对自己的僵尸网络管理很好嘛：）

这是一次典型的ddos 攻击，攻击之后我们获得了参与攻击的主机列表和控制端的域名及ip ，相信中国和韩国的cert 对于清理这次的攻击源很有兴趣，我们是有一些损失，但是攻击者也有损失了（大概包括一个僵尸网络及一个控制端域名，甚至可能包括一次内部的法律调查），我们不再是不平等的了，不是么？ 五总结

正如一个朋友所讲的，所有的防御是不完美的正如攻击是不完美的一样，好的防御者在提升自己的防御能力趋于完美的同时也要善于寻找攻击者的不完美，寻找一次攻击中的漏洞，不要对攻击心生恐惧，对于Ddos 攻击而言，发起一次攻击一样是存在漏洞的，如果我们都能够擅长利用其中的漏洞并且抓住后面的攻击者那么相信以后的ddos 攻击案例将会减少很多，在针对目标发起攻击之前攻击者也会做更多的权衡，损失，利益和法律。

在DDoS 攻击下保护DNS

2012-03-14 11:08 佚名 ZDNet 攻击防范 我要评论(2) 字号： |

如果你的服务器主机中运行了DNS 服务，那么一定要小心DdoS 这个很现实的攻击行为。而如果你的DNS 服务遭受到了DdoS 攻击，那么可以想象，最低的损失也是丢失电子邮件和暂停Web 服务。

AD ：

51CTO 云计算架构师峰会 抢票进行中！

如果你的服务器主机中运行了DNS 服务，那么一定要小心DdoS 这个很现实的攻击行为。而如果你的DNS 服务遭受到了DdoS 攻击，那么可以想象，最低的损失也是丢失电子邮件和暂停Web 服务。而如果你的DNS 服务主机位于企业内部，并且与企业用户的网络浏览等服务共用网络连接，那么一旦遭受DdoS 攻击，就意味着整个企业的网络服务暂停了。就算你的DNS 服务只是用于测试或其它有限的目的，一旦被攻击，所波及的范围也会很广。

其它会威胁到DNS 的情况还包括对外网开启FTP 服务，这个服务本来不应该从企业内部对外开放的。因为管理员都明白，一旦你这样做了，黑客和各种机器人程序会通过各种手段，包括暴力破解方式，来取得FTP 的账户和密码。就算你采用了很复杂的密码，当多个暴力破解程序运行时，由此产生的失败的FTP 访问流量就足以耗光网络资源。

总之，企业自己搭建和管理DNS 总会存在一定程度的安全风险。换句话说，目前公认的较好的解决方案就是DNS 服务托管。对于那些还没有为自己管理DNS 服务做好万全准备的企业来说，唯一的建议就是找个信任ISP 或其它专业的托管机构，将这个事儿交给他们去做。

DDoS 攻击亲身体验

之所以撰写这篇文章，也是因为我经历了一场真实的DdoS 攻击。当时的受害者是位于北美的一个小办公室，拥有一个DSL 路由器和一个静态IP 地址。办公室的服务器对外开启了DNS 。被攻击的早期征兆有两点，一是接收到的电子邮件数量比平时有所下降，二是Web 浏览速度下降。在经过几天的不良症状后，该办公室再也收不到来自外界的电子邮件了，同时也无法进行网络浏览了。使用最简单的ping 命令到互联网大型网站地址，得到的结果要么是失败，要么就是超过1000ms 的响应时间，这也基本算是无法连接了。

很明显此时有某个网络进程充斥在DSL 连接中。办公室中的每台电脑都关机重启了，并没有解决问题。重启DSL 也没有解决问题。但是在重启DNS 服务器后，会有短暂的时间恢复到正常的互联网连接状态，几分钟后，这种正常的连接速度再次变得不正常，并很快无法连接任何网站。考虑到可能是电子邮件系统或基于Web 的进程出现故障，便先后将服务器中的Exchange 服务和Web 服务关停，但是没有效果。在接下来的逐项尝试中，我们发现关闭DNS 服务会产生明显的效果，于是我们最终将问题锁定在DNS 服务上。

但是DNS 服务的日志中并没有任何警告事件，而且服务器本身也安装了最新的补丁，包括DNS 服务补丁和DoS 溢出补丁。另一个找寻线索的位置就是防火墙的日志文件。虽然这个办公室的防火墙没有历史日志文件，但是我们可以查看选定网络协议的实时日志。从实时的防火墙日志可以观察到，有两个互联网上的IP 地址在不断向办公室的服务器发送DNS 请求数据。这两个IP 地址所代表的服务器都位于欧洲，分别属于两个不同的国家，但是它们都在向这个相同的DNS 服务地址发送大量的数据。如果有两个或两个以上的远程地址在进行DoS 攻击，就可以将其归类为DDoS 攻击，即分布式DoS 攻击。。

在DDoS 攻击下保护DNS

一旦你知道了攻击方的IP 地址，就可以简单在防火墙中设置一个IP 规则，阻止来自该IP 地址的任何数据通过防火墙。在我们阻止了一个IP 地址后，ping 主流网站的结果已经达到300ms 了。当我们将第二个IP 地址阻挡后，ping 主流网站的结果已经恢复到正常水平，大概30ms ，并且所有网络功能恢复了正常。这个办公室很幸运，所遭受的DDoS 攻击只有两个攻击源，两个固定IP 地址。如果攻击源有几十甚至上百个(或者攻击源IP 地址是变化的) ，该办公室的处境就艰难的多了，同时对日常业务的冲击也会更大。

正如我前面提到的，防止DNS 服务器遭遇DDoS 攻击的最佳方案是将DNS 服务交给DNS 服务供应商去实现，比如你的ISP 或知名的DNS 注册机构，或者可靠的托管机构。虽然这种做法无法从根本上杜绝黑客对于供应商展开DoS 攻击的威胁，但是起码能够防止在发生DoS 攻击时，你企业的各种网络功能会不受影响。 如果出于某种原因，你必须要在企业内部建立DNS 服务，那么一定要制定一个针对DNSDoS 攻击的应对策略。比如在不同地点建立多个DNS 服务器, 使用强化或专用的DNS 服务器或应用程序并采用独立的互联网连接线路。Verisign 在2011年5月发布了一份DNS 可用性状态报告，确认就算是最顶级的电子商务网站，其DNS 的可用性也面临潜在风险，尤其是那些自己建立和管理DNS 服务的企业。

Arbor Networks APS防黑客层出不穷的DDoS 问题

2012-07-18 13:38 晓忆 51CTO.com 字号： |

近些年来，DDoS 攻击已变的更加尖端。黑客在其攻击中使用的攻击手段更加复杂。黑客现在组合使用大流量攻击和应用层DDoS 攻击，因为他们知道这会增加中断可用性的几率。

AD ：

51CTO 云计算架构师峰会 抢票进行中！

近些年来，DDoS 攻击已变的更加尖端。黑客在其攻击中使用的攻击手段更加复杂。黑客现在组合使用大流量攻击和应用层DDoS 攻击，因为他们知道这会增加中断可用性的几率。

此外，大流量攻击也日益壮大，它们使用数目更加庞大的恶意软件感染的机器或自愿主机来发起此类攻击。 在由Arbor Networks进行的调查中，DDoS 攻击的规模已稳步增长。但在2010年，已报告有100Gbps 级攻击。这超过2009年发生的最大攻击的规模的两倍。惊人的数据显示了黑客攻击网络或服务时能够使用的资源。由于结构面临这些新挑战，网络管理员不得不寻求以转移和缓解这些新黑客战术为单一目的的解决方案。

黑客行为主义的出现改变了对安全社区中的DDoS 的观点。攻击动机以前主要被视为博取名誉或财务，但现在已发生变化。尽管出于勒索等目的攻击仍然存在，但DDoS 攻击目前正被用作黑客行动主义的一种手段或用于证明是多么不堪一击。媒体机构、社交网络、政府部门等已成为此类DDoS 攻击的首要目标。

Anonymous 和LulzSec 是两个引起人们关注的知名黑客组织。Anonymous 的目标是攻击它认为以不公平的方式妨碍互联网自由和言论自由的机构。另一方面，LulzSec 因为暴露网络和网站中的安全漏洞而闻名于世。 尽管LulzSec 的目的是暴露网络漏洞，除了揭示网络漏洞以外没有其他的动机，但已有其他实例表明，攻击背后的理由已变的模糊。根据2011年第2季度出版的Kapersky 的DDoS 攻击报告，社交网络正成为目标，因为它们允许在数以万计的用户之间及时交换信息。在2011年，名为LiveJournal 的俄罗斯虚拟网络遭遇了一系列攻击。隐藏在攻击后的僵尸网络名为Optima 。迄今为止，没有任何人声称为这些攻击负责。

Arbor Networks的Pravail 可用性保护系统（APS ）专注于保障网络边界的安全，使其免遭针对可用性的威胁，尤其可以提供针对应用层DDoS 攻击的保护。该系统是为企业专门设计的，它提供开包即可使用、经过实践检验的DDoS 攻击识别的缓解功能，此类功能可藉使用极少的配置快速部署，甚至可以在攻击发生的过程中部署。

为客户提供的一项附加好处是Arbor 独一无二的对DDoS 僵尸网络的洞察能力，这得益于其ATLAS 基础设施，它将暗网监测系统与来自全球100多家服务提供商客户的流量数据有机地结合起来。ATLAS 智能预警系统实时提供DDoS 签名，藉此保护企业数据中心边缘免受数以百计的僵尸网络支持的DDoS 攻击工具及其变种的威胁。

总而言之，Arbor Networks APS 提供其他基于边界的安全设备无法提供的功能，这就是主动检测和缓解DDoS 攻击的功能。

Arbor 详解目前DDoS 三大攻击手段 2012-07-26 14:06 佚名 51CTO.COM 字号： |

Arbor Networks的Pravail 可用性保护系统(APS)是为企业专门设计的，它提供开包即可使用、经过实践检验的DDoS 攻击识别和缓解功能，此类功能可使用极少的配置快速部署，甚至可以在攻击发生的过程中部署。

AD ：

51CTO 云计算架构师峰会 抢票进行中！

什么是DDoS?

DDoS 攻击就是攻击者发起的一个尝试，目的是耗尽可用于网络、应用程序或服务的资源，以致于真正的用户无法访问这些资源。它是由一组恶意软件感染的计算机或自愿的客户端计算机产生的攻击，这些计算机企图耗尽特定的网络、网站或服务的资源。不过，并非所有DDoS 攻击均按照相同的方式来操作。

DDoS 攻击可分为多种不同的形式。这些形式包括洪水攻击和更加尖端的应用层攻击手段/工具。洪水攻击依赖大量流量/会话来耗尽一个目标，例如TCP SYN、ICMP 和UDP 洪水; 尖端的应用层攻击手段/工具包括Slowloris 、KillApache 等。

DDoS 攻击可分为大流量攻击、TCP 状态耗尽攻击或应用层攻击。在2011年第2季度出版的Kapersky 的DDoS 攻击报告中，HTTP 洪水攻击是最常见的DDoS 手段，它就是应用层攻击的一个实例。应用层攻击占据主导地位反映了快速演变的DDoS 已脱离传统的大流量攻击方向。

大流量攻击

大流量攻击通过海量流量使得网络的带宽和基础设施达到饱和，将其消耗殆尽，从而实现淹没网络的目的。一旦流量超过网络的容量，或网络与互联网其他部分的连接能力，网络将无法访问，如上图所示。大流量攻击实例包括ICMP 、碎片和UDP 洪水。

TCP 状态耗尽攻击

TCP 状态耗尽攻击试图消耗许多基础设施组件(例如负载均衡器、防火墙和应用服务器本身) 中存在的连接状态表。例如，防火墙必须分析每个数据包来确定数据包是离散连接，现有连接的存续，还是现有连接的完结。同样，入侵防御系统必须跟踪状态以实施基于签名的数据包检测和有状态的协议分析。这些设备和其他有状态的设备—包括负责均衡器—被会话洪水或连接攻击频繁攻陷。例如，Sockstress 攻击可通过打开套接字来填充连接表以便快速淹没防火墙的状态表。

应用层攻击

应用层攻击使用更加尖端的机制来实现黑客的目标。应用层攻击并非使用流量或会话来淹没网络，它针对特定的应用/服务缓慢地耗尽应用层上的资源。应用层攻击在低流量速率下十分有效，从协议角度看，攻击中涉及的流量可能是合法的。这使得应用层攻击比其他类型的DDoS 攻击更加难以检测。HTTP 洪水、DNS 词典、Slowloris 等都是应用层攻击的实例。

Arbor Networks的Pravail 可用性保护系统(APS)

Arbor Networks的Pravail 可用性保护系统(APS)是为企业专门设计的，它提供开包即可使用、经过实践检验的DDoS 攻击识别和缓解功能，此类功能可使用极少的配置快速部署，甚至可以在攻击发生的过程中部署。Pravail APS 专注于保障网络边界的安全，使其免遭针对可用性的威胁，尤其可以提供针对应用层DDoS 攻击的保护，可以应对管理人员处于DDoS 攻击时所面对的日益严峻的挑战。通过使用一系列反制措施，Pravail APS 检测和阻断DDoS 攻击，尤其是在云环境下难以检测攻击。

【责任编辑：Oo 小孩儿 TEL ：（010）68476606】