APP应用程序被DDOS攻击怎么办，如何防御？

DDoS 攻击是一种安全威胁，其目的是破坏应用程序、网站、服务器和路由器等网络资源，从而给受害者造成重大损失。但是，可以通过实施安全最佳实践和提前准备来预防，例如强化网络、配置资源、部署强大的保护措施、提前规划和主动监控网络。今天CDN5网络安全工程师Sam将给与您最佳的保姆级防护指南，希望对您有所帮助！

一：APP面临的常见DDOS攻击方式

 1.模仿真人慢攻击：通过大量模拟真人用户，慢速发送请求，绕开传统的拦截规则，对APP实现DDOS攻击。

 2.全球协同：通过全球云服务器，或者机房，僵尸机，从不同的国家对APP发起攻击，使传统的IP黑名单策略失效。

 3.多层攻击：通过高频SELECT *查询消耗IOPS，伪装视频流占用宽带，然后websocket持续长链接耗尽目标内存。   
 4.AI辅助攻击：通过AI模拟正常用户行为，绕过WAF及规则，自动学习强化攻击频率，自动构造攻击参数。

二：防御实战

1.强化APP安全性

通过分层网络安全防御体系是针对DDOS最佳的防护手段，当然一些常见的基础防护措施，如漏洞修补等，可以对APP提供更好的防护。

• 及时更新补丁和资源：执行对APP的漏洞扫描及APP的API端口检测，及时修复及隐藏，加密。
• ​通过渗透测试来探测漏洞：将错误配置或者安全缺失弥补，比如登录注册接入验证码，采用人机交互来抵御机器人。
• 消除不必要的功能：如限制网络端口，启动速率限制，阻止半开链接，设置防火墙等。

2.部署防 DDoS 架构

除了强化APP安全外，还需要为APP设计具有弹性的防护配置，如以下几个方面：

• 设计超额的基线宽带：可以应对突发的DDOS攻击。
• 备份组建：通过​冗余设备配置，在被攻击时快速恢复。
• 添加冗余：如将防火墙和路由分开，将资源分散云端，避免单点故障。
• 隐藏API及IP：通过隐藏IP和API接口，添加额外安全层，阻止ping及ICMP。

3.接入CDN5 APP安全盾

最佳的APP防护是接入CDN厂家的APP SDK，通过本地化转发，可以有效防止DDOS攻击，免疫CC攻击，CDN5的APP盾具有以下功能：

• 快速集成：无需过多复杂的操作，新手也可以快速集成SDK开发包。
• 智能路由：通过SDK智能路由，可以根据使用者的IP来分发内容，提供加载速度。
• 组件通信安全：限制Intent传递敏感数据，过滤恶意Scheme，对Binder通信接口进行签名校验，仅允许授权应用调用
• 反调试与逆向防护：通过代码混淆、动态加载技术防止反编译，例如使用VMP（虚拟机保护）对关键算法进行加密 ，实时检测调试器连接（如ptrace注入），触发后自动终止进程或启动熔断机制。
• 反欺诈：调度中心AI实时监控，对于异常请求会自动干预，能自动阻止（中间层攻击）​数据库篡改及虚拟用户。

三种 DDoS 防御策略：优点和缺点

DIY DDoS 防御的优缺点  

自行部署防御措施肯定可以成功抵御 DDoS 攻击。这些防御措施通常包括手动部署开源软件、防火墙和服务器的设置。

例如，手动将 IP 地址添加到拒绝列表可能很容易，但通常会落后于不断移动和发展的攻击；特别是在面对数千个端点的僵尸网络时，手动 IP 拒绝列表变得难以承受。

本地防御工具/服务的优缺点  

组织可以购买专门用于防御 DDoS 攻击的设备和软件。这些工具可以部署在要保护的资源（防火墙、服务器等）前面，也可以安装在资源本身上。

以前面的例子来说，设备或本地防火墙应用程序可能根据供应商的经验预先加载了知名僵尸网络 IP 地址列表。此黑名单将比 DIY 列表更全面，但将成为更昂贵解决方案的一部分，并且需要定期更新。

基于CDN的 SDK优缺点  

基于CDN的 DDoS 保护工具为整个组织提供了更全面的安全保护。APP防护SDK也成为APP盾。如果可能的话，基于CDN的 DDoS 保护是三者中最好的选择。