近来年随着智能手机的普及,APP类产品突发猛进,针对移动应用程序APP的攻击越发严重,许多知名应用程序(例如 Facebook、LinkedIn、Instagram、Uber、Ola、Airbnb 等)都受到过此类攻击,因为通过移动设备可以更轻松地分析个人用户,我们发现超过 80% 的应用程序安全性较弱。重点是,所有这些应用程序都涉及交易和资金,因此保障APP免受攻击变得无比重要。
针对应用程序APP的 DDoS攻击是什么样的?
我们举一个非常简单的例子,假设有人开发了一款应用并上架到移动应用商店中,而你作为用户下载了这款应用。这款应用可能会让你遭受 DDoS攻击,如果因为漏洞入侵之后还可以用来对其他服务器进行攻击。 这意味着攻击者可以通过他们开发并由您下载的应用程序控制您的设备。这样一来,您既是DDoS攻击的受害者,也可以成为攻击源。
DDoS 攻击会造成大量直接损失,尤其是对开发者而言,因为攻击会导致应用无法运行,导致收入减少和高昂的防护成本。另外,受到攻击的影响,还会影响用户体验,流失大量辛苦推广获得用户。
APP被攻击的另外一个因素是,黑客会模拟真实用户,对游戏资产进行欺诈,比如积分,外挂,扰乱整改APP的经营逻辑,让开发者蒙受巨大经济损失
针对移动应用程序APP的3种DDoS攻击类型
无论是那种攻击类型,攻击者的目标都是相同的,就是使目标应用无法运行,或者缓慢运行,下面来跟随CDN5安全工程师的视角看看,这些攻击是如何开展的
基于流量的DDoS攻击: 这些攻击旨在通过大量虚假流量使目标APP或服务器的带宽饱和,基于ICMP 洪水、UDP 洪水和其他欺骗性数据包洪水攻击属于基于流量的攻击类别。
协议或网络层DDoS攻击: 协议或网络层攻击通过发送大量伪造数据包来消耗目标APP的资源。这些攻击通常以 PPS(每秒数据包数)来衡量,包括 Ping of Death 攻击、SYN 洪水攻击和 Smurf DDoS 攻击等。
应用层DDoS攻击: 应用层攻击是指通过向应用程序发送大量恶意代码请求来压垮应用程序。这些请求看着是合法的,但最终会导致整个 服务器崩溃并导致500错误。 如 POST 或 GET 洪水,通常针对 Windows、Apache 和 OpenBSD 漏洞。其规模以 RPS(每秒请求数)为单位。