快速认识常见DDoS攻击

  DDoS并非是新手法,早在2000年就出现了,不过随着IoT僵尸大军的出现,让DDoS攻击更具威胁。DDoS攻击常见两种策略,一是耗尽频宽,第二策略就是耗尽系统资源,如耗尽记忆体、处理器等系统内部资源,导致系统无法处理合法的服务请求。攻击者也可能同采用这两种策略。

 

快速认识常见DDOS攻击

 

  若从网路协定层级来看,DDoS攻击主要锁定了Layer3(网路层)、Layer4(传输层)和Layer7(应用层)这叁层。资安专家刘俊雄以开店做生意来比喻,网路出入口及上游像商店的门口跟前方道路,攻击者在Layer3攻击,如同一群人在商店门口前堵住了大门和马路,正常要购物的人就无法进入商店而被阻挡在外。接着,他比喻网路基础建设,如同商店内的设施及走道空间,攻击者在Layer4的攻击方式,是要把攻击目标的伺服器、记忆体的资源耗尽,就像是一群人把商店内的走道和空间都堵住,正常流量无法在网站裡面进行浏览。最后,他比喻应用系统就像结帐柜台,攻击者针对Layer7的攻击,如同一堆人在柜台前面以假装结帐的方式故意瘫痪柜台,无法为正常使用者提供服务。

 

  刘俊雄将DDoS攻击归纳成两大类,分别是「打得大」跟「打得巧」两种。前者以攻击者藉由传输大量封包到攻击目标的网路设备,造成对方的网路瘫换。这种型态的攻击操作门槛低,他认为,「打得大」将是未来主要的攻击型态。

 

  「打得大」早期常见是以1对1方式来瘫痪目标的DoS攻击,不过现在常见的DDoS则是利用了反射和放大(Reflection and Amplification)流量的技巧来扩大攻击规模,这也是今年常用手法。随着IoT产业的发达促使更多人使用IoT装置,以及Mirai公布开源码后,在未来几年这类由IoT僵尸网路发动的攻击频率会越来越高,而且攻击规模也会逐渐增大。

 

  「打得巧」的DDoS攻击型态则不是透过超大流量来发动攻击,而是锁定网路系统漏洞或是协定机制的缺陷进行攻击,过去2,3年较盛行。此类攻击包括SYN Flood、Fragment Packet Flood(碎片攻击)、Slow Attack(慢速攻击)以及Exploit(漏洞攻击)。

 

  SYN Flood攻击是在TCP连线三向交握通讯模式中,跳过传送最后ACK资讯,或是在SYN裡面透过假造的IP位址,让伺服器发送SYN-ACK封包到假造的IP位址,所以永远无法收到ACK的资讯。透过这样的方式,伺服器可能会花很多时间等抄收通知,造成网路的壅塞让网站瘫痪。

 

        第二种 Fragment Packet Flood是指攻击者透过发送极小的封包碎片绕过过滤系统或者入侵检测系统的一种攻击手段。第叁种Slow Attack攻击就是攻击者利用通讯协定中的漏洞,对攻击目标的伺服器建立较缓慢的网路连线,并且刻意将回应时间拉长让伺服器无法完成网页的需求,占用网路的连线来耗尽攻击目标的系统资源,造成攻击目标的网路瘫痪,就像是一般人打给客服专线询问事情,但会故意放慢速度说话占据电话的线路。最后,Exploit就是攻击者利用网路设备或是系统的漏洞攻击。

本文地址:https://www.idcbest.com/idcnews/11000586.html



天下数据手机站 关于天下数据 联系我们 诚聘英才 付款方式 帮助中心 网站备案 解决方案 域名注册 网站地图

天下数据18年专注海外香港服务器、美国服务器、海外云主机、海外vps主机租用托管以及服务器解决方案-做天下最好的IDC服务商

《中华人民共和国增值电信业务经营许可证》 ISP证:粤ICP备07026347号

朗信天下发展有限公司(控股)深圳市朗玥科技有限公司(运营)联合版权

深圳总部:中国.深圳市南山区深圳国际创新谷6栋B座10层 香港总部:香港上環蘇杭街49-51號建安商業大廈7樓

7×24小时服务热线:4006388808香港服务电话:+852 67031102

本网站的域名注册业务代理北京新网数码信息技术有限公司的产品

工商网监图标