应用程序和 API 安全

Sandeep Rath is a Senior Product Marketing Executive at Akamai. He is a PMMC-certified product marketing leader with a focus on translating unmet customer needs, narrative design, and value-based storytelling. He has nearly two decades of experience in leading global product marketing teams and is based in Toronto, Canada.

寫於

Dennis Birchard

Dennis Birchard has spent more than 15 years protecting, advocating, and architecting to secure Fortune 500 organizations with web and infrastructure mitigation capabilities. Dennis has extensive real-world experience working with public and private cloud delivery models, and managing and deploying secure IT environments. Dennis thrives on challenging projects and has the success record to prove it. Threat intelligence and community advocacy are two core reasons why Dennis values this industry.

如果贵企业现在正在遭受攻击，我们的安全专家将随时全天候竭诚为您服务。如果您需要紧急救援服务，请联系我们。

内容提要

从 2024 年开始，分布式拒绝服务 (DDoS) 攻击变得高度复杂。
多媒介、多目标并且由 AI 提供支持的 DDoS 攻击会探测现有的防御系统，识别薄弱环节，然后组织发起能够让 DDoS 防御解决方案瘫痪的攻击，最终实现分布式拒绝防御 (DDoD)。
容量耗尽型 DDoS 攻击的手段比较简单，并且通常采用单一媒介，因此可通过自助、完全自主的解决方案轻松抵御。
复杂的 DDoS 攻击几乎从来不以规模取胜。要有效抵御这些类型的攻击，不仅需要成熟的 DDoS 防御解决方案，还需要辅以安全专家的情报和强大的网络安全态势。
那些与内容交付网络 (CDN) 及其他安全解决方案共享资源和容量的 DDoS 防御平台往往难以有效应对复杂的 DDoS 攻击。

网络安全专业人士必须以 DDoS 防御成熟度模型为标准对其当前的安全态势进行评估，并探索进一步提升其安全性的方法。

当前，分布式拒绝服务 (DDoS) 攻击格局正在发生真实而显著的分化。一方面，一些供应商会经常报告那些吸引眼球的 DDoS 攻击，然而这些攻击往往手段比较简单、采用单一媒介并且易于抵御，如 UDP 泛洪攻击。这些攻击是否规模很大？是的，当然！

另一方面，资源充足的网络威胁攻击者正在使用由人工智能 (AI) 和物联网 (IoT) 技术提供支持的爬虫程序来组织发起高度复杂的 DDoS 攻击。需要注意关键词：“复杂的”。

这是现代 DDoS 攻击的特点。这些攻击往往是多媒介、多目标（多 IP 地址）的 DDoS 攻击，并且他们使用由 AI 赋能的工具来探测您的防御系统，识别薄弱环节，并发起往往会让 DDoS 防护解决方案本身瘫痪的攻击，继而使您的数字基础架构离线。

我们已进入分布式拒绝防御 (DDoD) 的时代。

不能使用的防护，形同虚设

近年来，大规模、高度复杂的攻击数量显著增加。

事实上，在过去 36 个月里，由 Akamai Prolexic 的 DDoS 防护平台所抵御的大型攻击中就有 9 起是大规模容量耗尽型 DDoS 攻击。这些攻击往往是多媒介、多目标攻击，它们足以让市面上许多初级的、仅靠自主运行的或本地部署的 DDoS 解决方案陷于瘫痪。

进一步研究 Akamai 收集的 DDoS 威胁情报可以发现，在 2025 年第二季度，Prolexic 成功抵御的 DDoS 攻击中，超过 30% 是高度复杂的横向攻击（图 1）。

要有效抵御此类复杂的 DDoS 攻击，就需要一种同样精密的防御方法，将强大的现代自动化技术、人类的专业知识以及企业安全团队与解决方案提供商之间的协作相结合。这正是 Akamai 平台-人员-流程框架的价值所在，它能够提供强大的网络安全态势。

您当前的 DDoS 解决方案能否真正地保护您免受现代 DDoS 攻击的威胁？

UDP 泛洪攻击等简单、易于抵御的媒介可能很容易被任何基础的 DDoS 防护解决方案所拦截，而与攻击者每秒钟生成多少 Tb (Tbps) 的攻击流量无关。在许多情况下，即使是简单的访问控制列表 (ACL) 也能胜任这项工作。对于网络安全从业人员来说，这些类型的简单手段、技术和程序 (TTP) 早已司空见惯，根本谈不上新奇或值得关注。

AI 赋能的复杂 DDoS 攻击则完全是另一回事，它们能够智能地探测您的防御系统，识别安全态势中的薄弱环节，然后发动规模中等但采用复杂的攻击媒介组合的攻击。这些攻击能够攻破您的 DDoS 防御系统，然后使您的网络离线。

我们之所以再次强调这个特别重要的过程，是因为 DDoS 攻击并不是偶然事件。大多数 DDoS 攻击的发生，是由于有人故意试图向您的网络注入海量恶意流量，以达到耗尽您的源站容量并阻止合法用户访问服务的目的。

在少数情况下，可能会出现错误配置、网络探测或攻击性漏洞扫描引起的拒绝服务 (DoS) 攻击。利用 AI 赋能和辅助的工具，网络犯罪分子可以探测您的网络以找出相对薄弱的部分，然后他们会据此发动集中攻击。

复杂的 DDoS 攻击不需要依赖规模

复杂的 DDoS 攻击几乎从来不以规模取胜。这是因为如果攻击者利用相对适中且经过精心设计的流量就能击溃您的防御系统，他便不必生成大量流量。

我们可以这样理解：如果有人企图闯入您的房子，他们可以使用蛮力破门而入，但这会触发家庭报警系统并引来警察，或者他们也可以确定如何瘫痪您的安保系统，然后不需要费太大力气就能进入。

一些现代的 DDoS 攻击使用了第二种手段：他们会让您的安全系统陷入瘫痪，然后入侵您的网络。

客户网络往往内置了不同级别的冗余容量或技术，以便吸收或分流攻击的初始冲击。遗憾的是，这些措施远远不够。

例如，无状态防火墙等控制措施或设备可以在攻击初期发挥作用，但其能力往往有限，无法在吸收协议滥用和/或均衡分配负载的同时，专注于为合法主机或用户提供服务。有时，攻击者只需要足够的攻击能力就能让基础架构瘫痪并绕过自动控制措施。

攻击者能力、资源和意图的全面演进

FS-ISAC 和 Akamai 于 2025 年 6 月联合发布了一份名为《从干扰到战略威胁：金融行业 DDoS 攻击趋势》的报告，其中详细地阐述了该趋势。

该报告指出，“事实上，2024 年最有效的 DDoS 攻击活动，其主要特征是战略性侦察和敏捷执行，而不是简单的流量规模。”

“2024 年，攻击者越来越多地采用融合了系统性探测和自适应手段的先进多媒介 DDoS 策略。这证明，攻击者已具备实时分析防御系统并动态地调整攻击方法以规避自动保护措施的能力。这标志着攻击者的能力、资源和意图发生了明显的演进，并且加剧了金融服务业面临的 DDoS 攻击威胁。”

示例

在 2024 年的最后三个月中，亚太地区有超过 20 家个人金融机构受到了规模空前且高度复杂 DDoS 攻击活动的影响。网络犯罪分子使用了多种媒介，以相对较低的流量来巧妙地探测和测试这些金融机构的真实 DDoS 防御水平。

虽然攻击流量的规模适中，但多种攻击媒介和目标 IP 构成的复杂组合使多项完全自主和本地部署的 DDoS 保护服务失效，并给最终用户造成了长达数日、显著且代价高昂的影响。

值得注意的是，攻击流量显著低于大多数 DDoS 抵御解决方案所宣称的容量限制。更糟糕的是，在完全自主的自助式 DDoS 防御平台被击溃之后，客户甚至无法登录这些平台来采取任何应对操作。任何一位网络安全从业人员都绝不希望体验到这种脆弱又无助的感受。

新时代：分布式拒绝防御 (DDoD)

过去几年里，Akamai 密切关注着一个新兴的网络犯罪趋势：从分布式拒绝服务的老把戏转向新型的分布式拒绝防御。亚太地区发生的攻击事件进一步印证了这一转变。

在您的自动化 DDoS 防御系统瘫痪后，攻击者无需大量的恶意流量就能破坏您的网络。

在亚太地区的示例中，此方法使得攻击者得以在数周内同时攻击多家公司并导致其服务中断。他们以经济高效的方式使用爬虫程序的强大“火力”，而不是通过传统的大规模攻击来耗尽攻击这些公司的资源。

好消息

我们的 DDoS 防御平台 Akamai Prolexic 轻松抵御了这些攻击，成功地保护了我们的客户。一个关键原因在于，我们在设计产品时预见到了“完全自动化”的不足。为此，我们始终有一支由安全运营指挥中心 (SOCC) 专家组成的全球团队持续监控攻击动态并直接与客户进行合作。

我们的专家常年奋战在对抗 DDoS 攻击的前线，他们掌握着一个丰富的工具库，这些工具能够在自动防御机制被攻击突破时立即投入使用。

事实上，由于一些企业的完全自主 DDoS 防御系统会遭到攻击者的欺骗而失效，因此 Akamai 经常会收到他们的紧急 DDoS 防护请求。通常，依赖完全自主防御系统的供应商既没有备用方案，也无法提供人工干预、紧急咨询或支持资源。

DDoS 防御措施“随时在线”意义非凡

安全系统的优劣取决于它能否在您的网络遭受攻击时提供防护能力。如果一个系统频繁宕机、动辄离线，或是在高级攻击面前不堪一击，那么无论它“宣称”自己的防御能力有多么强大，都是形同虚设。

在如今这个复杂 DDoS 攻击频发的时代，要击溃纯自主 DDoS 防御平台或让其彻底瘫痪相对很容易。当此类平台的 DDoS 防御容量是与包括内容交付网络 (CDN) 在内的其他服务共享的资源时，这种情况会变得尤为突出。

Akamai 客户逐渐采取的一项策略便是多元化理念。拥有专用的多云架构使网络安全从业人员能够实现 DDoS 防御系统的多元化，并避免了在单一平台中遇到系统性问题的风险。

满足最低要求远远不够

在一些受到严格监管的行业中，许多企业级组织和机构都需要采用双 DDoS 供应商策略。

事实上，许多企业级客户会选择另一个“符合基本要求”的供应商来满足多元化需求，但在保护他们的关键资产时，会使用成熟且设计完善的解决方案。其他资产（通常包括个性化域、问答环境以及其他非关键功能）则由低成本解决方案提供保护。

我们深知，任何基于技术的解决方案都可能会发生意外的服务中断，并因此对客户造成影响；我们过去也遇到过服务中断问题。然而，您是否想过：当您遭受攻击时，如果一个 DDoS 解决方案连自身的可用性都可能无法保证，您又有多大的信心将自己的核心或关键网络资产交由它进行保护呢？

如果您的最终用户中有 40% 的人无法访问您的服务，但 DDoS 攻击抵御提供商声称面向互联网的服务运行正常，您认为这是一个合理的结果吗？答案毫无疑问是否定的。

您的 DDoS 防御系统是一个共享工位还是一栋专属的办公楼？

一些公司吹嘘拥有“十几间会议室、十几间办公室以及十几间休息室”。听起来很高大上？但事实上是，所谓的“高大上”只不过是共享办公空间中一个被无数人反复使用的流动工位而已。

而这正是共用 DDoS 容量的工作方式：使用一个有限的空间来满足所有需求，最终只会顾此失彼。而真正的防护应该像一栋专属的办公楼：楼内有专用的楼层、会议室和办公室，即便全部空间同时启用，也不会因为抢占资源而互相干扰。

一些 DDoS 防御供应商宣称其网络的总容量是在所有防御功能及其 CDN 之间共享的。网络安全专业人士必须要提出的问题是：

当遭受攻击时，这个所谓的“总容量”中有多少可供 DDoS 防御使用？
如果合法流量已使入网点 (PoP) 达到饱和，您的防御系统如何能够真正地应对 DDoS 攻击？

Akamai 专为 DDoS 防御打造的专用专业基础架构

我们认为，用于 DDoS 防御的专用且专业的基础架构可以提高可靠性、减少故障点并降低整体风险。我们将此方法与先进的自动化技术，以及由专家组成的 SOCC 相结合，以便为每个用户调整和优化防御措施，并帮助他们抵御那些旨在欺骗相关算法的攻击。

Akamai 可提供抵御复杂 DDoS 攻击的多层、多云、分段式专用防御措施。例如：

Akamai Prolexic 可提供抵御开放系统互连 (OSI) 模型第 3 层和第 4 层 DDoS 攻击的专用防御措施。
Akamai Edge DNS 和 Akamai Shield NS53 可提供抵御针对 DNS 的 DDoS 攻击的专用防御措施。
Akamai App & API Protector 可提供抵御第 7 层（应用层）DDoS 攻击的专用防御措施。

此外，Akamai 的边缘网络甚至可以在其他安全系统介入前自动丢弃 DDoS 流量。Akamai Guardicore Segmentation 可帮助阻止网络犯罪分子利用 DDoS 攻击作为便利的烟幕弹，借此渗透您的网络并实施勒索软件攻击。简单来说，Akamai 可以提供覆盖所有端口和协议的全面网络安全防护。

如何在当前的 DDoS 攻击格局下保护您的企业

长久以来，人们普遍存在一种印象，即 DDoS 攻击是过时的攻击手段，而 DDoS 防御已成为一项最低要求。在某种程度上，这种观点在 5 到 7 年前是正确的，当时大多数成熟的网络安全解决方案提供商都会基础的 DDoS 防御能力。

但是，在过去的 3 或 4 年里，DDoS 攻击格局发生了显著变化。由于以下原因，DDoS 攻击已变得极其复杂：

AI 赋能工具的激增
地缘政治事件催生出资源充足的黑客
租用型 DDoS 服务易于获取
全天候在线时代的来临，企业和机构都无法承受离线带来的后果

正是因为处于这样的环境中，网络犯罪分子才调整了其 TTP 来组织发起复杂的 DDoS 攻击，这些攻击能够探测受害者的 DDoS 防御系统，让系统陷入瘫痪状态，然后使其业务离线。

抵御 DDoS 攻击的 5 个步骤

作为网络安全专业人士，您有什么补救措施？您可从以下五个步骤开始。

建立一个强大的网络安全态势，该安全态势以主动检测、基于行为的分析以及自动化与人工干预的智能结合为基石。完全依赖自动化防御只会给抵御措施的一致性和质量带来风险。
了解攻击者行为并建立快速抵御的基线。攻击者是在探测 API 漏洞还是在绕过应用层防御措施？是否有来自伪造或不可信来源的异常且不规律的请求活动？这些可能是复杂 DDoS 攻击活动的先行指标。
采用具有专用（而非共享）防御容量的 DDoS 防御平台，并且该平台没有多次出现不可用的历史记录。是否配备了 SOCC 团队来弥补自动化防御的不足？切勿让自主 DDoS 防御平台自身演变成为单点故障。另外，在我们讨论容量时，确保不要被表面的宣传数字所迷惑，而是要弄清楚这些数字背后对应的是哪些类型的攻击。
确保您的事件响应计划处于最新状态。此计划应包含一个危机应对团队，并为该团队明确界定其职责分工、沟通渠道以及制定用于抵御 DDoS 攻击的预定义策略。
以 DDoS 防御成熟度模型为标准对您当前的网络安全态势进行评估（该模型由 FS-ISAC 和 Akamai 共同开发），然后确定改进领域以完善您的安全性（图 2）。

遭受 DDoS 攻击期间需要执行的 7 个步骤

1.评估您的风险和当前的防御措施。从评估您当前的 DDoS 抵御能力开始。您现有的防御措施是否足以应对该攻击的规模和范围？与您的 DDoS 攻击抵御提供商合作，评估持续存在的威胁并迅速应对任何漏洞。

如果您需要紧急启用 Akamai Prolexic DDoS 防御平台，请立即联系我们的安全团队。

2.查看您的关键 IP 空间和子网。确保您最关键的网络资源（包括重要的子网和 IP 空间）受到抵御控制措施的保护。这将帮助减少您的基础架构中可能受到攻击影响的区域。

3.激活全天候在线的 DDoS 安全控制措施。部署全天候在线的安全控制措施作为第一层防御。此主动方法将最大限度地减少事件响应人员的负担，并降低危机爆发时发生紧急集成情况的风险。

4.实施基于边缘的云防火墙。通过部署基于边缘的云防火墙（例如，Akamai Prolexic 的 Network Cloud Firewall），打破传统 DDoS 防护的局限性，全面升级您的防御系统。这层额外的安全保护可以帮助拦截恶意流量，避免其到达您的网络，从而减少内部防火墙和系统的负载。

5.保护 DNS 基础架构。域名系统 (DNS) 攻击是用于中断服务的一种常见且非常有效的方法。使用 Akamai Edge DNS 等强大的 DNS 解决方案来抵御针对 DNS 的攻击，并部署 Akamai Shield NS53 作为动态代理以保护本地或混合 DNS 基础架构。

6.激活您的事件响应计划。在危机爆发时，严格执行经过反复演练的行动手册是保持冷静并高效应对的关键。

7.将您的防护范围扩展到应用程序和 API 层。许多 DDoS 攻击都以应用程序和 API 为目标，因此也必须保护这些组件。Akamai App & API Protector 提供 Web 应用程序防火墙 (WAF)，该防火墙能够拦截恶意 HTTP 请求并保护您的应用程序免受以 443 和 80 端口为目标的复杂 DDoS 攻击的影响。