保护API避免受到DDoS攻击

在一个数字安全至关重要的世界里，企业的未来正面临着一系列不同程度的威胁。许多应用程序的核心是一组API。这些API用于消费者和应用程序之间的通信，它们对业务至关重要。如果它们宕机，客户就不能用这个应用做任何事情，这意味着收入损失。

这些攻击有多普遍？

有些人报告了总体情况在RDDoS区域下降(ransom分布式拒绝服务)，据报道，应用层(第7层)DDoS攻击也增加了164%。例如，日本遇到了赎金增加的DDoS攻击。2022年，在勒索DDoS的情况下，使用更高级连接的L7攻击以及使用L3和L4级别的传统高容量流量的DDoS攻击的比例正在增加。

API可以是内部的，但是任何暴露在互联网上的API都容易受到恶意用户的攻击，这些恶意用户想要阻止合法用户使用它们。如果有人试图通过每分钟发送数百万个请求来搞垮它们，这远远超出了系统的处理能力，该怎么办？这种攻击会让API以如此快的速度收到大量数据请求，以至于它无法对任何请求做出响应。

DDoS攻击是对网络和应用程序的一种常见威胁，由于对计算能力的需求增加，通常由僵尸程序或僵尸网络实施。这些攻击可以从世界上的任何地方发起，其结果可能从不便(性能降低)到毁灭性的(系统离线)。

保护API免受DDoS攻击的一个因素是了解常见的攻击类型:TCP SYN泛洪，和HTTP Post泛滥。当攻击者发送大量SYN数据包，但从未完成3次握手时，就会发生TCP SYN泛滥。服务器无法处理所有这些不完整的连接和正在使用的资源。当攻击者向具有大量数据的服务器发送Post请求时，就会发生HTTP Post泛滥。由于许多服务器只接受带有少量数据的POST请求，发送这些过多的请求会导致它们过载，因为在下一个请求到达之前，它们没有处理完请求。

容量攻击试图造成如此大的流量，以至于淹没资源并中断合法用户的服务。一些例子包括DNS放大、smurf和NTP反射/放大攻击。一般来说，保护API不被滥用的第一步是了解您的端点。库存——如果它是面向公众的，它是一个将被发现和利用的目标。

一种方法是通过网络应用防火墙(WAF)。将WAFs与攻击分析结合使用，允许规则检测特定类型的流量，并在它们到达应用程序服务器之前阻止它们。例如，如果您知道TCP SYN泛洪通常是由试图在您的网站中找到漏洞的自动爬虫或机器人引起的，您可以配置您的WAF拒绝来自这些IP地址的任何请求或完全阻止它们，直到它们首先发送有效的凭证。

正常的web应用程序IP阻止和API检测之间的一个重要区别是上下文化。为了适当地保护API免受IP滥用，WAF技术需要分析一段时间内的流量模式，并识别异常行为，例如来自不同IP地址的重复请求。

安全层的另一部分是使用内容交付网络(CDN )。CDN将允许在世界各地的多台服务器上分发内容，这样，如果一台服务器因受到攻击而关闭，仍有其他服务器可供用户在不中断服务的情况下访问信息。

另一种策略是casting，WAF被配置为通过将特定类型的流量投射到服务器上的不同端口来阻止它们。当WAF检测到攻击时，它可以通过阻止攻击IP地址或将用户重定向到不同的页面来做出响应。这种类型的保护被称为黑洞过滤。其他策略包括实时数据包分析、速率限制和增加带宽来防止这些类型的攻击。

DDoS 是一种常见的攻击类型，恶意攻击者通过故意使用来自多个设备和 IP 地址的大量机器人流量使 API 过载。对于企业而言，关键业务服务因此面临风险，例如登录服务、会话管理和其他为用户提供应用程序正常运行时间和可用性的服务。

执行 DDoS 活动的攻击者通常使用不对称技术，通过这种技术发送少量数据来生成 API 调用，这通常会导致服务器严重超载，因为他们必须使用大量数据来响应此类 API 调用。此类攻击会严重占用系统资源并大大增加系统所有用户的服务器响应时间。

企业可以采取以下措施来阻止 DDoS 攻击：

1、流量分析

2、速率限制（例如，每个客户端/资源的请求数、请求负载大小）。

3、自动缩放资源（确保为阈值报告打开警报）。

4、使用高防DNS应对大流量DDoS攻击或DNSQuery查询攻击。

DDoS攻击是对企业的严重威胁。这不仅仅是DDoS攻击本身的成本，也是声誉受损和收入损失。尽所能来缓解DDoS，任何事情都是进步！