写点什么

概述 DDoS 分类

  • 2022-11-04
    北京
  • 本文字数:1696 字

    阅读完需:约 6 分钟

概述DDoS分类

DDoS 不是一种攻击,而是很多种类的攻击,并且 DDoS 的防御可以做到相对自动化但做不到绝对自动化,很多演进的攻击方式自动化工具不一定能识别,还需要专家进一步用肉眼判断。

1、网络层攻击
  • Syn-flood——利用 TCP 建立连接时 3 次握手的“漏洞”,通过原始套接字发送源地址虚假的 SYN 报文,使目标主机永远无法完成 3 次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的 DDoS 攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量 syn-flood 的情况下可以缓解,但流量稍大时完全不抵用。防御 syn-flood 的常见方法有:syn proxy、syn cookies、首包(第一次请求的 syn 包)丢弃等。

  • ACK-flood——对于虚假的 ACK 包,目标设备会直接回复 RST 包丢弃连接,所以伤害值远不如 syn-flood。DDoS 的一种原始方式。

  • UDP-flood——使用原始套接字伪造大量虚假源地址的 UDP 包,目前以 DNS 协议为主。

  • ICMP-flood——Ping 洪水,是一种比较古老的方式。

2、应用层攻击
  • CC——ChallengeCollapsar 的名字源于挑战国内知名安全厂商绿盟的抗 DDoS 设备-“黑洞”,通过 botnet 的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的 http 请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。

  • DNS flood——伪造源地址的海量 DNS 请求,用于淹没目标的 DNS 服务器。对于攻击特定企业权威 DNS 的场景,可以将源地址设置为各大 ISP DNS 服务器的 ip 地址以突破白名单限制,将查询的内容改为针对目标企业的域名做随机化处理,当查询无法命中缓存时,服务器负载会进一步增大。

  • 慢速连接攻击——针对 HTTP 协议,以知名的 slowloris 攻击为起源:先建立 HTTP 连接,设置一个较大的 content-length,每次只发送很少的字节,让服务器一直以为 HTTP 头部没有传输完成,这样的连接一多很快就会出现连接耗尽。

  • DOS 攻击——有些服务器程序存在 bug、安全漏洞,或架构性缺陷,攻击者可以通过构造的畸形请求发送给服务器,服务器因不能正确处理恶意请求而陷入僵死状态,导致拒绝服务。例如某些版本的应用服务器程序存在缓冲区溢出,漏洞可以触发但无法得到 shell,攻击者可以改变程序执行流程使其跳转到空指针或无法处理的地址,用户态的错误会导致进程挂起,如果错误不能被内核回收则可能使系统当掉。

3、攻击方式
  • 混合型攻击——在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了 TCP 和 UDP 流量,网络层和应用层攻击同时进行。

  • 反射型攻击——2004 年时反射型攻击(DRDOS)第一次披露,通过将 SYN 包的源地址设置为目标地址,然后向大量的真实 TCP 服务器发送 TCP 的 SYN 包,而这些收到 SYN 包的 TCP Server 为了完成 3 次握手把 SYN|ACK 包“应答”给目标地址,完成了一次“反射”攻击,攻击者隐藏了自身。但有个问题是攻击者制造的流量和目标收到的攻击流量是 1:1,且 SYN|ACK 包到达目标后马上被回以 RST 包,整个攻击的投资回报率不高。反射型攻击的本质是利用“质询-应答”式协议,将质询包的源地址通过原始套接字伪造设置为目标地址,则应答的“回包”都被发送至目标,如果回包体积比较大或协议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。反射型攻击利用的协议目前包括 NTP、Chargen、SSDP、DNS、RPC Portmap 等等。

  • 流量放大型攻击——以上面提到的 DRDOS 中常见的 SSDP 协议为例,攻击者将 Search type 设置为 ALL,搜索所有可用的设备和服务,这种递归效果产生的放大倍数是非常大的,攻击者只需以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。

  • 脉冲型攻击——很多攻击持续的时间非常短,通常 5 分钟以内,流量图上表现为突刺状的脉冲。

  • 链路泛洪型攻击——随着 DDoS 攻击技术的发展,又出现了一种新型的攻击方式:链路泛洪(link-flooding),这种方式不直接攻击目标,而是以堵塞目标网络的上一级链路为目的。对于使用了 IP anycast 的企业网络来说,常规的 DDoS 攻击流量会被“分摊”到不同地址的基础设施,这样能有效缓解大流量攻击,所以攻击者发明了一种新方法,攻击至目标网络 traceroute 的倒数第二跳,即上联路由,致使链路拥塞。国内 ISP 目前未开放 anycast,所以这种攻击方式的必要性有待观望。

发布于: 刚刚阅读数: 6
用户头像

InfoQ签约作者 2018-11-30 加入

热爱生活,收藏美好,专注技术,持续成长

评论

发布
暂无评论
概述DDoS分类_DDoS_穿过生命散发芬芳_InfoQ写作社区