DDos-атака по протоколу HTTP

Мы заблокировали все запросы, исходящие от HTTP, и остановили атаку.

Обратите внимание: когда люди вводят ваш URL-адрес в браузере вручную, первое обращение обычно происходит по протоколу HTTP. Если вы отключите HTTP, люди не смогут получить доступ к сайту, просто введя ваше доменное имя.

мы хотели бы знать, почему мы получаем атаку на наши серверы по HTTP, а не HTTPS из разных источников

Это решать злоумышленнику. Скорее всего, это случайность, что атака прошла только по протоколу HTTP.

мы хотели бы знать, можно ли изменить исходный IP-адрес только с помощью HTTP-запросов?

Нет. Для выполнения HTTP-запроса необходимо сначала выполнить TCP-рукопожатие. Это означает, что вы не можете легко подделать IP-адрес, поскольку вам необходимо активно участвовать в общении, а маршрутизаторы должны видеть вас как действительных участников. Вы можете подделать IP-адрес, находясь в той же локальной сети, но это будет только для одного пакета и не позволит правильно выполнить квитирование TCP.

Как лучше всего предотвратить подобные атаки?

Мы все еще боремся с DDOS, и 100% решения не существует. Атака достаточного масштаба может отключить Интернет как это уже было в прошлом. Вот несколько вещей, которые вам могут понравиться:

1. Ограничение скорости - притормозите входящий трафик, чтобы полностью не убить вашу инфраструктуру. Вы потеряете часть действующего трафика, но будете в рабочем состоянии.
2. Фильтрация - боль при работе с DDOS атаками. Анализируйте, какие IP-адреса постоянно атакуют вас. Отфильтруйте их на своем брандмауэре. (Представьте себе удовольствие, когда на вас атакуют 100 тыс. Устройств Интернета вещей). WAF (брандмауэр веб-приложений) может позволить вам фильтровать не только IP-адреса, но и другие параметры запроса.
3. Масштабирование - чем больше инфраструктура, тем больше возможностей.

В большинстве случаев все, что вам нужно сделать, это выжить, пока атака не закончится.