简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。
HTTP就是一个通用的单纯协议机制。因此它具备较多优势,但是在安全性方面则呈劣势。开发者需要自行设计并开发及会话管理功能来满足Web应用的安全。而自行设计就意味着会出现各种形形色色的实现。结果,安全等级并不完备,可仍在运作的Web应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的Bug。
Ddos的攻击又叫分布式拒绝服务攻击,简单来说就是发送大量请求使服务器瘫痪。Dos攻击时单个攻击不具备杀伤力,而ddos attack是洪水式集体攻击,攻击者将大量的计算机联合起来,利用公共网络向一个或多个目标发动攻击。可能由于服务器的宽带不足,不足以抵御大流量的攻击,造成网络瘫痪,损失重大。之所以能攻击成功,时因为防御做的不够,因此,web应用ddos防御若想有效的话,就要在服务器端的开发做好防御。