HTTP是全球資訊網的數據通訊基礎,每次我們打開網頁、點擊連結或提交表單,背後都離不開 HTTP協定的運作,它簡單、開放且廣泛使用,使網路世界得以高速成長!然而,這份「簡單」也伴隨著資安上的挑戰,攻擊者可以透過大量模擬正常瀏覽行為的方式,利用 HTTP 作為發動 DDoS 攻擊的工具,對網站造成癱瘓甚至商業損失。
目錄➤HTTP是什麼?
➤HTTP如何運作?
➤HTTP的弱點
➤攻擊者如何利用HTTP發動DDoS攻擊
➤如何防禦 HTTP 層 的DDoS攻擊?
➤騰雲運算的 DDoS 攻擊解決方案
HTTP是什麼?
HTTP 超文本傳輸協定 (HyperText Transfer Protocol),是全球資訊網的數據通訊基礎,用於透過超文字連結載入網站,HTTP 是一種應用層的通訊協定,用於聯網裝置之間的資訊傳輸,其運作方式是基於請求與回應(Request/Response) 的模型。
當我們瀏覽網站時,瀏覽器會向網站伺服器傳送 HTTP 請求,這個請求會以HTTP回應來進行回覆,簡單來說,HTTP 就是網站與使用者之間的溝通橋樑的概念。
那麼另一種 HTTPS 又是什麼?
HTTPS 超文本傳輸安全協定 (HyperText Transfer Protocol Secure) 是一個更安全的版本或HTTP 的擴展,HTTPS 是經由 HTTP 進行通訊並利用 TLS 加密封包,也就是一種更安全的加密連線。不過這裡不再贅述。
HTTP如何運作?
HTTP 是 開放式系統互連模型 (OSI) 網路通訊模型中的應用層通訊協定,它定義了多種類型的請求和回應,運作方式可以想像成「客戶端問問題、伺服器給答案」的模式。
HTTP的請求包含了:
HTTP 版本類型、一個 URL、一個HTTP方法、HTTP請求標頭、選用的HTTP主體HTTP的回應包含了:
一個 HTTP 狀態代碼、HTTP 回應標頭、選用的 HTTP 主體
常見的 HTTP 方法
GET:向伺服器「取得」資料
POST:向伺服器「傳送」資料
PUT:更新資源內容
DELETE:刪除資源
以下是 HTTP 的運作流程
使用者輸入網址或點擊連結
當我們在瀏覽器輸入網址,瀏覽器則會根據這個網址發送出一個 HTTP 請求(Request)。瀏覽器發送 HTTP 請求
這個請求會包含:請求方法,如:GET/ POST
請求的資源路徑,如:/index.html
標頭資料Headers,如:語言或裝置類型
有時也會有資料內容,如:表單送出
伺服器接收請求並處理
伺服器接收到 HTTP 請求後,會根據請求內容找出對應的資源、執行後端邏輯,並且準備好一份回應。伺服器回傳 HTTP 回應(Response)
HTTP回應也包含多項資訊,比如...回應標頭,如內容類型、快取設定
主體內容,如 HTML、JSON或圖片...等
狀態碼,如代表成功的 200、表示找不到的404、錯誤請求的400…等
瀏覽器呈現畫面給使用者
瀏覽器解析回傳內容後,就會顯示頁面給使用者瀏覽觀看,若網站中包含其他資源,如圖片、CSS、JS…等,瀏覽器就會再次發送額外的 HTTP 請求。
HTTP的弱點
雖然 HTTP 是全球資訊網的數據通訊基礎,但它確實也存在一些安全性和效能上的弱點,這些弱點常常被攻擊者利用,造成網站當機或資料外洩等風險。
明文傳輸
明文傳輸的意思是數據在網路傳輸中,沒有經過任何加密處理,以原始的文本形式傳輸;而早期的 HTTP 沒有加密機制,所有的資料都是透過明文傳輸的方式處理,這種方式容易被竊聽,攻擊者可以透過中間人攻擊攔截並偷看傳輸的資料,比如帳號、密碼 或 Cookie。
※建議使用 HTTPS 加密模式來保護資料傳輸安全,而目前大多數網站也同樣都是使用這個方式來保護網站資訊,如 https://www.skycloud.com.tw/ ,只有極少數的網站仍使用 HTTP。
無狀態特性
無狀態Stateless 的意思是每個請求都是獨立的,伺服器不會保留任何先前請求的狀態資訊;而 HTTP 正是這種無狀態的協定,每次請求伺服器都當作全新的一次,不會記得上一次的行為,雖然這樣讓系統設計更為簡單,但也使得 HTTP 必須額外使用 Cookie 或 Session 追蹤登入狀態,並且容易被模擬成大量獨立請求,難以辨識攻擊者行為!攻擊者可以利用這個特性發動高頻率、大量請求的 DDoS 攻擊。
容易被濫用的開放式設計
HTTP 的請求格式開放且具有彈性,但這也讓它變得容易被機器模擬,如攻擊者可以利用 Bot 發送請求,另外,若伺服器沒有驗證機制,幾乎無法辨認「真實使用者」和「惡意攻擊者」的區別。
尤其像是 HTTP GET/POST 請求,攻擊者可以發送大量虛假請求,讓伺服器忙於處理,進而導致效能下降甚至癱瘓。
資源消耗不對等
即使是一個看起來很小的請求(如一行GET),伺服器處理這個請求的代價可能會很大,如查詢資料庫、動態生成頁面或載入第三方資源,這種小投入、大消耗的特性正是 DDoS 攻擊力用的關鍵。
攻擊者如何利用HTTP發動DDoS攻擊
HTTP 是一種用來傳輸網站資料的應用層協定,本質上開放且簡單,但也因為如此才成為了 DDoS分散式阻斷服務攻擊的熱門目標!攻擊者會透過大量模擬真實使用者的行為對 HTTP 發送請求,直至網站或線上服務癱瘓。
這種類型的攻擊特別難以防禦,因為這些 HTTP 攻擊會模擬真實使用者的行為,導致不容易用傳統的防火牆或黑名單機制阻擋。以下是攻擊者常見的手法。
HTTP Flood 攻擊
HTTP Flood 攻擊 是最常見的 HTTP 層攻擊,這類攻擊會大量發送表面上看起來正常且合法的 HTTP 請求,例如:不斷對首頁發送 GET 請求、發送大量 POST 請求已觸發後端處理、存取需要大量伺服器資源的頁面...等。
這些請求在表面上與正常使用者行為高度相似,傳統防火牆與流量監控難以辨識是否為惡意攻擊行為,因此網站伺服器最終可能被大量請求壓垮,導致網站讀取緩慢甚至無法連線,直至癱瘓線上服務。
殭屍網路(Botnet) 發動分散式攻擊
攻擊者通常不會只靠一台電腦發動攻擊,而是使用數千甚至數萬台受到感染的裝置同時從全世界各地對目標網站發送 HTTP 請求,這些受到感染並被控制的裝置稱為殭屍網路(Botnet)。
數以萬計對目標網站發送的 HTTP 請求,它的請求來源來自多個IP、國家,請求來源分散且內容隨機,可以避免被封鎖,同時還可以持續數分鐘到數個小時,甚至好幾天都可能被攻擊!如此導致無法單靠封鎖單一來源解決問題,這使得即使針對特定來源封鎖,也難以徹底防禦,進一步提高防禦難度。
模擬真實瀏覽行為(繞過WAF)
有些攻擊者可能會使用自動化工具模擬瀏覽器行為,包括加入常見的 User-Agent 標頭、模擬 JS 加載與 Cookie 處理,或是發送和人類相似的瀏覽節奏與點擊路徑,這類行為層攻擊,讓防禦系統難以分辨是使用者還是攻擊者在瀏覽網站。
資源消耗型 HTTP 請求
攻擊者會特別鎖定那些伺服器處理成本高的 HTTP 請求,例如查詢大量資料的頁面、動態產生的 PDF 或報表、第三方 API 整合介面...等,這些請求即使數量不多,也可能造成效能瓶頸。
HTTP 攻擊範例
假設一個網站首頁請求會觸發動態內容生成,攻擊者使用 5,000 台殭屍網路(botnet),同時每秒發送 10 個 GET / 請求,總共每秒 5 萬筆請求,即使只有 1% 回應成功,也可能造成主機 CPU 滿載、記憶體耗盡、資料庫崩潰。
HTTP 層攻擊的危險原因
偽裝性高:看起來像正常使用者所發出的請求
資源消耗高:對伺服器壓力大
偵測難度高:傳統防火牆無法辨識
成本不對等:攻擊者只要發送請求,但網站卻需要付出大量資源來處理
這些正是 HTTP 成為 DDoS 攻擊熱門目標的原因,因為它高效率且高命中。
如何防禦 HTTP 層 的DDoS攻擊?
既然 HTTP 層容易被 DDoS 攻擊,那麼要採取哪些手段進行防禦?
使用 HTTPS 加密傳輸
雖然 HTTPS 不是針對 DDoS的防禦技術,但它對於整體資安防護仍非常重要,特別能防範一些攻擊手法,如:
防止中間人攻擊:防止中間人修改 HTTP 請求內容,例如注入惡意流量來輔助攻擊。
防止攻擊者攔截敏感資料,如登入資訊或 Cookie,攔截後進行 Session 劫持等攻擊。
加密傳輸協定,讓攻擊者較難模擬請求內容或精準重現使用者行為。
啟用 CDN 與 DDoS防護
CDN(內容傳遞網路) 提供全球節點緩存,可以隔離原始伺服器避免流量直接進入原站並同時提供 DDoS防禦功能。
自動辨識異常流量
流量清洗
分散請求到全球節點,降低單點壓力
封鎖來自已知殭屍網路或惡意 IP 的請求
部屬 WAF 應用程式防火牆
WAF(Web Application Firewall)應用程式防火牆,可以根據請求特徵進行過濾和阻擋。
封鎖異常 User-Agent 或 Referer
檢查 URL 路徑與參數是否符合規則
阻擋特定 HTTP 方法 (如大量 POST 請求)
搭配 CAPTCHA 驗證提高辨識能力
使用速率限制
使用速率限制(Rate Limiting) 限制每個 IP 或帳戶在一段時間內的請求次數,可以有效防止攻擊者在短時間內產生大量請求造成資源耗盡。
每秒最多只能發出 N 次請求
達上限即丟棄或延遲處理
常搭配 API Gateway 或反向代理使用
騰雲運算的 DDoS 攻擊解決方案
騰雲運算提供 CDN 加速與 DDoS 防禦技術,全球多個 CDN節點,覆蓋全球包含美國、日本、台灣、香港、新加坡...等地,為顧客提供高效且可靠的 DDoS/ CC 攻擊防禦解決方案,深獲顧客肯定與信任。
騰雲運算與 NTT、SOFTBANK、PCCW 等國際大廠攜手合作,除提供平時穩定的網路服務外,更能於面對網路攻擊時,迅速抵禦 DDoS/ CC 攻擊。透過全球佈署的流量清洗中心,更進一步提供二次或三次流量清洗服務,為客戶提供全方位的網路安全防護。
騰雲運算的 DDoS 防禦解決方案具備以下優勢:
全方位監控與支援:
騰雲運算的 DDoS 雲端防禦服務提供 7 天 24 小時提供全方位技術監控與支援,幫您監控網站流量,並在遭受攻擊時即時做出反應。智能檢測機制:
騰雲運算獨家「感知監控,智能調度」技術能有效辨識、過濾正常流量與惡意攻擊流量,根據網路封包的特徵質,提前偵測異常或不明來源的流量,自動過濾並阻斷連線,提供企業高效且可靠的 DDoS 防禦服務。有效防禦各種類型 DDoS/ CC 攻擊:
騰雲運算擁有專業的研發團隊,專注 Anti-DDoS/ CDN 技術研發以及提升服務品質,滿足不同企業的需求,成功協助亞洲超過 200 多家企業防禦各種類型的 DDoS/ CC 攻擊,受到一致的肯定與信任。
騰雲運算的 DDoS/CC 防禦服務,為您的網路業務提供強大的安全保障,立即點擊下方按鈕,與我們聯繫,預約體驗騰雲運算專業的防禦能力。
參考資料:
✔維基百科|超文本傳輸協定
✔維基百科|超文本傳輸安全協定
✔Cloudflare|什麼是HTTP?
✔AWS|HTTP 與 HTTPS 之間有什麼區別?
延伸閱讀:
✔HTTP攻擊是什麼?網站變慢可能是HTTP攻擊!DDoS洪水型攻擊解析
✔什麼是流量清洗?流量清洗服務原理、抵擋DDoS的方法報你知!
✔CDN概念全解析!一篇搞懂CDN的原理、用途與案例分析!
✔DDoS懶人包|帶你了解常見的DDoS攻擊手段與DDoS防禦策略!
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_372_3728'%20x1='19.2966'%20y1='17.8555'%20x2='4.40396'%20y2='14.991'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Experience fast, secure, and reliable service.
'/%3e%3cpath%20d='M38.0476%2033.4361C38.563%2033.9451%2039.3985%2033.9451%2039.914%2033.4361C40.4294%2032.927%2040.4294%2032.1018%2039.914%2031.5927L28.4218%2020.2421L16.9296%2031.5927C16.4141%2032.1018%2016.4141%2032.927%2016.9296%2033.4361C17.445%2033.9451%2018.2805%2033.9451%2018.7959%2033.4361L28.4218%2023.9289L38.0476%2033.4361Z'%20fill='%23222222'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_1305_5534'%20x1='53.5'%20y1='53.5'%20x2='-6.00852'%20y2='43.6145'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)