DDoS并非是新手法，早在2000年就出現(xiàn)了，不過隨著IoT僵尸大軍的出現(xiàn)，讓DDoS攻擊更具威脅。DDoS攻擊常見兩種策略，一是耗盡頻寬，第二策略就是耗盡系統(tǒng)資源，如耗盡記憶體、處理器等系統(tǒng)內(nèi)部資源，導(dǎo)致系統(tǒng)無法處理合法的服務(wù)請(qǐng)求。攻擊者也可能同采用這兩種策略。

　　若從網(wǎng)路協(xié)定層級(jí)來看，DDoS攻擊主要鎖定了Layer3(網(wǎng)路層)、Layer4(傳輸層)和Layer7(應(yīng)用層)這叁層。資安專家劉俊雄以開店做生意來比喻，網(wǎng)路出入口及上游像商店的門口跟前方道路，攻擊者在Layer3攻擊，如同一群人在商店門口前堵住了大門和馬路，正常要購物的人就無法進(jìn)入商店而被阻擋在外。接著，他比喻網(wǎng)路基礎(chǔ)建設(shè)，如同商店內(nèi)的設(shè)施及走道空間，攻擊者在Layer4的攻擊方式，是要把攻擊目標(biāo)的伺服器、記憶體的資源耗盡，就像是一群人把商店內(nèi)的走道和空間都堵住，正常流量無法在網(wǎng)站裡面進(jìn)行瀏覽。最后，他比喻應(yīng)用系統(tǒng)就像結(jié)帳柜臺(tái)，攻擊者針對(duì)Layer7的攻擊，如同一堆人在柜臺(tái)前面以假裝結(jié)帳的方式故意癱瘓柜臺(tái)，無法為正常使用者提供服務(wù)。

　　劉俊雄將DDoS攻擊歸納成兩大類，分別是「打得大」跟「打得巧」兩種。前者以攻擊者藉由傳輸大量封包到攻擊目標(biāo)的網(wǎng)路設(shè)備，造成對(duì)方的網(wǎng)路癱換。這種型態(tài)的攻擊操作門檻低，他認(rèn)為，「打得大」將是未來主要的攻擊型態(tài)。

　　「打得大」早期常見是以1對(duì)1方式來癱瘓目標(biāo)的DoS攻擊，不過現(xiàn)在常見的DDoS則是利用了反射和放大(Reflection and Amplification)流量的技巧來擴(kuò)大攻擊規(guī)模，這也是今年常用手法。隨著IoT產(chǎn)業(yè)的發(fā)達(dá)促使更多人使用IoT裝置，以及Mirai公布開源碼后，在未來幾年這類由IoT僵尸網(wǎng)路發(fā)動(dòng)的攻擊頻率會(huì)越來越高，而且攻擊規(guī)模也會(huì)逐漸增大。

　　「打得巧」的DDoS攻擊型態(tài)則不是透過超大流量來發(fā)動(dòng)攻擊，而是鎖定網(wǎng)路系統(tǒng)漏洞或是協(xié)定機(jī)制的缺陷進(jìn)行攻擊，過去2,3年較盛行。此類攻擊包括SYN Flood、Fragment Packet Flood(碎片攻擊)、Slow Attack(慢速攻擊)以及Exploit(漏洞攻擊)。

　　SYN Flood攻擊是在TCP連線三向交握通訊模式中，跳過傳送最后ACK資訊，或是在SYN裡面透過假造的IP位址，讓伺服器發(fā)送SYN-ACK封包到假造的IP位址，所以永遠(yuǎn)無法收到ACK的資訊。透過這樣的方式，伺服器可能會(huì)花很多時(shí)間等抄收通知，造成網(wǎng)路的壅塞讓網(wǎng)站癱瘓。

        第二種 Fragment Packet Flood是指攻擊者透過發(fā)送極小的封包碎片繞過過濾系統(tǒng)或者入侵檢測(cè)系統(tǒng)的一種攻擊手段。第叁種Slow Attack攻擊就是攻擊者利用通訊協(xié)定中的漏洞，對(duì)攻擊目標(biāo)的伺服器建立較緩慢的網(wǎng)路連線，并且刻意將回應(yīng)時(shí)間拉長(zhǎng)讓伺服器無法完成網(wǎng)頁的需求，占用網(wǎng)路的連線來耗盡攻擊目標(biāo)的系統(tǒng)資源，造成攻擊目標(biāo)的網(wǎng)路癱瘓，就像是一般人打給客服專線詢問事情，但會(huì)故意放慢速度說話占據(jù)電話的線路。最后，Exploit就是攻擊者利用網(wǎng)路設(shè)備或是系統(tǒng)的漏洞攻擊。

本文鏈接：http://m.51huadong.com/cloundnews/11000586.html