2014年互联网安全厂商年终报告汇总（国外版）上

应用层攻击（Application-Layer Attacks）：主要针对运行7层协议上的应用程序或服务，可以说是最精密与隐蔽的攻击，因为哪怕仅使用一台计算机以极低的速率产生攻击流量也可以收到非常好的攻击效果。这点让基于流量检测的解决方案难以觉察。为了实时有效地检测与缓解这类威胁，我们需要在DDoS防护措施中添加在线或其他基于包检测的组件。

据调研结果，2014年容量耗尽攻击（Volumetric Attack）的比例已经增长至三分之二，而TCP状态表耗尽与应用层攻击的比例有所下降。然而，值得注意的是尽管更精密的应用层攻击的比例从24%跌落到17%，但超过90%的受访者声称收到过应用层DdoS攻击，2013年这个数字还是86%。

攻击者并不是只使用单一的攻击向量，可能会对同一目标同时应用多种不同的攻击技术，导致防护者更难以招架。分层防御可能是应对多向量攻击最好的解决方案。在分层防御中，你可以提前做好应对更接近目标的隐蔽攻击的措施，然后在服务器供应商或云基础设施内部处理攻击的超大流量部分。

我们再来研究一下2014年应用层攻击所针对的服务，HTTP和DNS服务并列第一，成为最受攻击者欢迎的目标。近些年，HTTP一直是应用层攻击的头号目标，而针对DNS的攻击比2013年有了较大的增长。调研结果中有趣的是受访者中观察到针对加密Web服务（HTTPS）应用层攻击的比例下降，从2013年的54%下降到2014年的47%。而下降的原因可能是反射/放大型DDoS攻击的增长与“燕子攻击行动(Operation Ababil)”结束共同造成的。其中，燕子攻击行动(Operation Ababil)发起大量针对加密Web服务的攻击。

4.DDoS攻击的检测

在对威胁检测调研中，NetFlow分析工具仍然是最常用的威胁检测工具，其次是防火墙日志。这两项所占比例几乎与2013年持平。而受访者中使用SNMP工具的比例从65%跌落到53%。传统上，诸如NetFlow技术可以查看3层协议与4层协议。然而，一些路由器厂商通过私有的流扩展与IPFix来提供对7层的可见性，从而把流技术的视野扩展到应用层。与此同时，受访者中正在使用7层协议流的比例，从2013年的26%上升至2014年的55%。