HTTPBot 的新威脅
HTTPBot 是一種新出現的 Windows 平台 DDoS 機器人網絡,主要攻擊遊戲和科技網站。不同於以往多數運行在路由器、物聯網設備或 Linux 伺服器上的 DDoS 機器人,HTTPBot 是用 Go 語言編寫,專為 Windows 系統編譯。自 2025 年 4 月起,它已針對中國的遊戲、科技和教育網站進行精準的 HTTP 攻擊,模仿真實的瀏覽器流量。
HTTPBot 的獨特之處
HTTPBot 不像傳統的機器人網絡以大量數據流量癱瘓網絡,而是精確地攻擊應用程式邏輯層,旨在擾亂服務的軟體層級。一旦安裝,HTTPBot 會隱藏其存在,並將自己添加到 Windows 的啟動註冊表中,然後連接到指揮和控制伺服器獲取攻擊指令。這些指令包括攻擊方法、目標、持續時間和唯一的攻擊 ID。
多樣化的攻擊方法
HTTPBot 支援七種不同的 HTTP DDoS 攻擊方法,包括:
- BrowserAttack:開啟隱藏的 Chrome 會話以佔用伺服器執行緒。
- HttpAutoAttack 和 CookieAttack:重放會話 Cookie,模擬真實用戶流量。
- HttpFpDlAttack:利用 HTTP/2 特性觸發大文件下載,增加伺服器 CPU 負載。
- WebSocketAttack:利用
ws://和wss://協議消耗後端資源。 - PostAttack:發送大量 POST 請求以淹沒應用端點。
為何遊戲和支付平台易受攻擊
由於遊戲和金融服務依賴於極低延遲的後端系統,HTTPBot 的運營者利用低流量、高精度的流量進行攻擊,這些結構化的突發流量往往不易被察覺,但足以逐漸削弱後端資源。
防禦 HTTPBot 的策略
傳統的 DDoS 防禦主要針對帶寬高峰,對於 HTTPBot 已不再有效。需要深入的第 7 層可見性來監控應用層流量的實際行為。建議採取以下策略:
- 更新 Windows 系統:許多被感染的主機是運行過時 Windows 版本的邊緣伺服器或桌面電腦,保持系統更新可減少機器人網絡的立足點。
- 基線 API 使用模式:追蹤正常的 Cookie、負載大小及 WebSocket 使用模式,在用戶受影響之前對異常發出警報。
- 第 7 層過濾:使用能區分真實與合成 HTTP 會話的應用感知安全解決方案。
關於 FastNetMon
FastNetMon 是領先的網絡安全解決方案,提供先進的 DDoS 偵測和緩解功能。透過即時分析和快速反應能力,FastNetMon 幫助組織保護其基礎設施免受不斷演變的網絡威脅。欲了解更多信息,請訪問 FastNetMon 官方網站。