快速认识常见DDoS攻击

　　DDoS并非是新手法，早在2000年就出现了，不过随着IoT僵尸大军的出现，让DDoS攻击更具威胁。DDoS攻击常见两种策略，一是耗尽频宽，第二策略就是耗尽系统资源，如耗尽记忆体、处理器等系统内部资源，导致系统无法处理合法的服务请求。攻击者也可能同采用这两种策略。

 

 

　　若从网路协定层级来看，DDoS攻击主要锁定了Layer3(网路层)、Layer4(传输层)和Layer7(应用层)这叁层。资安专家刘俊雄以开店做生意来比喻，网路出入口及上游像商店的门口跟前方道路，攻击者在Layer3攻击，如同一群人在商店门口前堵住了大门和马路，正常要购物的人就无法进入商店而被阻挡在外。接着，他比喻网路基础建设，如同商店内的设施及走道空间，攻击者在Layer4的攻击方式，是要把攻击目标的伺服器、记忆体的资源耗尽，就像是一群人把商店内的走道和空间都堵住，正常流量无法在网站裡面进行浏览。最后，他比喻应用系统就像结帐柜台，攻击者针对Layer7的攻击，如同一堆人在柜台前面以假装结帐的方式故意瘫痪柜台，无法为正常使用者提供服务。

 

　　刘俊雄将DDoS攻击归纳成两大类，分别是「打得大」跟「打得巧」两种。前者以攻击者藉由传输大量封包到攻击目标的网路设备，造成对方的网路瘫换。这种型态的攻击操作门槛低，他认为，「打得大」将是未来主要的攻击型态。

 

　　「打得大」早期常见是以1对1方式来瘫痪目标的DoS攻击，不过现在常见的DDoS则是利用了反射和放大(Reflection and Amplification)流量的技巧来扩大攻击规模，这也是今年常用手法。随着IoT产业的发达促使更多人使用IoT装置，以及Mirai公布开源码后，在未来几年这类由IoT僵尸网路发动的攻击频率会越来越高，而且攻击规模也会逐渐增大。

 

　　「打得巧」的DDoS攻击型态则不是透过超大流量来发动攻击，而是锁定网路系统漏洞或是协定机制的缺陷进行攻击，过去2,3年较盛行。此类攻击包括SYN Flood、Fragment Packet Flood(碎片攻击)、Slow Attack(慢速攻击)以及Exploit(漏洞攻击)。

 

　　SYN Flood攻击是在TCP连线三向交握通讯模式中，跳过传送最后ACK资讯，或是在SYN裡面透过假造的IP位址，让伺服器发送SYN-ACK封包到假造的IP位址，所以永远无法收到ACK的资讯。透过这样的方式，伺服器可能会花很多时间等抄收通知，造成网路的壅塞让网站瘫痪。

 

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：niceseo99@gmail.com进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。