DDoS并非是新手法，早在2000年就出現(xiàn)了，不過隨著IoT僵尸大軍的出現(xiàn)，讓DDoS攻擊更具威脅。DDoS攻擊常見兩種策略，一是耗盡頻寬，第二策略就是耗盡系統(tǒng)資源，如耗盡記憶體、處理器等系統(tǒng)內部資源，導致系統(tǒng)無法處理合法的服務請求。攻擊者也可能同采用這兩種策略。

　　若從網(wǎng)路協(xié)定層級來看，DDoS攻擊主要鎖定了Layer3(網(wǎng)路層)、Layer4(傳輸層)和Layer7(應用層)這叁層。資安專家劉俊雄以開店做生意來比喻，網(wǎng)路出入口及上游像商店的門口跟前方道路，攻擊者在Layer3攻擊，如同一群人在商店門口前堵住了大門和馬路，正常要購物的人就無法進入商店而被阻擋在外。接著，他比喻網(wǎng)路基礎建設，如同商店內的設施及走道空間，攻擊者在Layer4的攻擊方式，是要把攻擊目標的伺服器、記憶體的資源耗盡，就像是一群人把商店內的走道和空間都堵住，正常流量無法在網(wǎng)站裡面進行瀏覽。最后，他比喻應用系統(tǒng)就像結帳柜臺，攻擊者針對Layer7的攻擊，如同一堆人在柜臺前面以假裝結帳的方式故意癱瘓柜臺，無法為正常使用者提供服務。

　　劉俊雄將DDoS攻擊歸納成兩大類，分別是「打得大」跟「打得巧」兩種。前者以攻擊者藉由傳輸大量封包到攻擊目標的網(wǎng)路設備，造成對方的網(wǎng)路癱換。這種型態(tài)的攻擊操作門檻低，他認為，「打得大」將是未來主要的攻擊型態(tài)。

　　「打得大」早期常見是以1對1方式來癱瘓目標的DoS攻擊，不過現(xiàn)在常見的DDoS則是利用了反射和放大(Reflection and Amplification)流量的技巧來擴大攻擊規(guī)模，這也是今年常用手法。隨著IoT產(chǎn)業(yè)的發(fā)達促使更多人使用IoT裝置，以及Mirai公布開源碼后，在未來幾年這類由IoT僵尸網(wǎng)路發(fā)動的攻擊頻率會越來越高，而且攻擊規(guī)模也會逐漸增大。

　　「打得巧」的DDoS攻擊型態(tài)則不是透過超大流量來發(fā)動攻擊，而是鎖定網(wǎng)路系統(tǒng)漏洞或是協(xié)定機制的缺陷進行攻擊，過去2,3年較盛行。此類攻擊包括SYN Flood、Fragment Packet Flood(碎片攻擊)、Slow Attack(慢速攻擊)以及Exploit(漏洞攻擊)。

　　SYN Flood攻擊是在TCP連線三向交握通訊模式中，跳過傳送最后ACK資訊，或是在SYN裡面透過假造的IP位址，讓伺服器發(fā)送SYN-ACK封包到假造的IP位址，所以永遠無法收到ACK的資訊。透過這樣的方式，伺服器可能會花很多時間等抄收通知，造成網(wǎng)路的壅塞讓網(wǎng)站癱瘓。

        第二種 Fragment Packet Flood是指攻擊者透過發(fā)送極小的封包碎片繞過過濾系統(tǒng)或者入侵檢測系統(tǒng)的一種攻擊手段。第叁種Slow Attack攻擊就是攻擊者利用通訊協(xié)定中的漏洞，對攻擊目標的伺服器建立較緩慢的網(wǎng)路連線，并且刻意將回應時間拉長讓伺服器無法完成網(wǎng)頁的需求，占用網(wǎng)路的連線來耗盡攻擊目標的系統(tǒng)資源，造成攻擊目標的網(wǎng)路癱瘓，就像是一般人打給客服專線詢問事情，但會故意放慢速度說話占據(jù)電話的線路。最后，Exploit就是攻擊者利用網(wǎng)路設備或是系統(tǒng)的漏洞攻擊。

本文鏈接：http://m.51huadong.com/cloundnews/11000586.html