2016-12-16快速認識常見DDoS攻擊

張貼日期：2016/12/16 上午 05:38:29

DDoS攻擊常見兩種策略，一是耗盡頻寬，二是耗盡系統資源，隨著IoT產業的發達，以及Mirai開源碼公布後，未來幾年DDoS攻擊頻率會越來越高，規模也會逐漸增大...

DDoS並非是新手法，早在2000年就出現了，不過隨著IoT殭屍大軍的出現，讓DDoS攻擊更具威脅。DDoS攻擊常見兩種策略，一是耗盡頻寬，第二策略就是耗盡系統資源，如耗盡記憶體、處理器等系統內部資源，導致系統無法處理合法的服務請求。攻擊者也可能同時採取這兩種策略。

若從網路協定層級來看，DDoS攻擊主要鎖定了Layer3（網路層）、Layer4（傳輸層）和Layer7（應用層）這三層。資安專家劉俊雄以開店做生意來比喻，網路出入口及上游像商店的門口跟前方道路，攻擊者在Layer3攻擊，如同一群人在商店門口前堵住了大門和馬路，正常要購物的人就無法進入商店而被阻擋在外。接著，他比喻網路基礎建設，如同商店內的設施及走道空間，攻擊者在Layer4的攻擊方式，是要把攻擊目標的伺服器、記憶體的資源耗盡，就像是一群人把商店內的走道和空間都堵住，正常流量無法在網站裡面進行瀏覽。最後，他比喻應用系統就像結帳櫃檯，攻擊者針對Layer7的攻擊，如同一堆人在櫃檯前面以假裝結帳的方式故意癱瘓櫃檯，無法為正常使用者提供服務。

劉俊雄將DDoS攻擊歸納成兩大類，分別是「打得大」跟「打得巧」兩種。前者以攻擊者藉由傳輸大量封包到攻擊目標的網路設備，造成對方的網路癱換。這種型態的攻擊操作門檻低，他認為，「打得大」將是未來主要的攻擊型態。

「打得大」早期常見是以1對1方式來癱瘓目標的DoS攻擊，不過現在常見的DDoS則是利用了反射和放大（Reflection and Amplification）流量的技巧來擴大攻擊規模，這也是今年常用手法。隨著IoT產業的發達促使更多人使用IoT裝置，以及Mirai公布開源碼後，在未來幾年這類由IoT殭屍網路發動的攻擊頻率會越來越高，而且攻擊規模也會逐漸增大。

「打得巧」的DDoS攻擊型態則不是透過超大流量來發動攻擊，而是鎖定網路系統漏洞或是協定機制的缺陷進行攻擊，過去2、3年較盛行。此類攻擊包括SYN Flood、Fragment Packet Flood（碎片攻擊）、Slow Attack（慢速攻擊）以及Exploit（漏洞攻擊）。

SYN Flood攻擊是在TCP連線三向交握通訊模式中，跳過傳送最後ACK資訊，或是在SYN裡面透過假造的IP位址，讓伺服器發送SYN-ACK封包到假造的IP位址，所以永遠無法收到ACK的資訊。透過這樣的方式，伺服器可能會花很多時間等抄收通知，造成網路的壅塞讓網站癱瘓。第二種 Fragment Packet Flood是指攻擊者透過發送極小的封包碎片繞過過濾系統或者入侵檢測系統的一種攻擊手段。第三種Slow Attack攻擊就是攻擊者利用通訊協定中的漏洞，對攻擊目標的伺服器建立較緩慢的網路連線，並且刻意將回應時間拉長讓伺服器無法完成網頁的需求，占用網路的連線來耗盡攻擊目標的系統資源，造成攻擊目標的網路癱瘓，就像是一般人打給客服專線詢問事情，但會故意放慢速度說話占據電話的線路。最後，Exploit就是攻擊者利用網路設備或是系統的漏洞攻擊。

[From IThome]