快速认识常见DDoS攻击

DDoS并非新手法，早在2000年就出现了，但随之而来IoT僵尸大军的出现，让DDoS攻击更具威胁。DDoS攻击有两种常见的策略，一种是耗尽频率和宽度，另一种是耗尽系统资源，如记忆、处理器和其他系统内部资源，导致系统无法处理合法的服务请求。攻击者也可能使用这两种策略。

从网络协定层面来看，DDoS攻击主要是锁定的Layer3.Layer4.和Layer7(应用层)这三层。资安专家刘俊雄以开店做生意为比喻，网络出入口和上游就像商店前面的路，攻击者在Layer3攻击，就像一群人在商店门口堵住了门和道路一样，正常购物的人不能进入商店，被堵住了。然后，他把网络基础设施比作商店里的设施和走道空间，攻击者就在那里Layer4的攻击方法是耗尽攻击目标的伺服器和记忆资源，就像一群人堵塞了商店的走道和空间一样，正常流量无法浏览网站。最后，他将应用程序系统与结账柜台进行了比较，攻击者针对它Layer7.攻击就像一群人故意瘫痪柜台，假装在柜台前结账，无法为正常用户提供服务。

刘俊雄将DDoS攻击分为两类，即「打得大」跟「打得巧」两种。前者以攻击者藉由传输大量封包到攻击目标的网路设备，造成对方的网路瘫换。这种型态的攻击操作门槛低，他认为，「打得大」将是未来的主要攻击模式。

「打得大」早期常见的目标是一对一瘫痪DoS但现在很常见DDoS它使用反射和放大(ReflectionandAmplification)这也是今年常用的扩大攻击规模的技巧IoT工业的发展促进了更多的人的使用IoT装置，以及Mirai这种原因在未来几年公布开源码后IoT僵尸网的攻击频率会越来越高，攻击规模也会逐渐增加。

「打得巧」的DDoS攻击模式不是通过大流量发动攻击，而是锁定网络系统漏洞或协议机制的缺陷。在过去的2年或3年里更受欢迎。这种攻击包括SYNFlood、FragmentPacketFlood(碎片攻击)，SlowAttack(慢攻)和Exploit(漏洞攻击)。

SYNFlood攻击是在TCP在连线三向交握通信模式中，跳过传输结束ACK信息，或在SYN里面是假的IP位置，让伺服器发送SYN-ACK假造封包IP地址，所以永远收不到ACK信息。通过这种方式，伺服器可能会花很多时间等待复制通知，导致网络堵塞，使网站瘫痪。

第二种FragmentPacketFlood是指攻击者绕过过滤系统或入侵检测系统过滤系统或入侵检测系统的攻击手段。第三种SlowAttack攻击是攻击者利用通信协议中的漏洞为攻击目标的伺服器建立缓慢的网络连接，故意延长响应时间，使伺服器无法满足网页的需求，占用网络连接，耗尽攻击目标的系统资源，导致攻击目标的网络瘫痪，就像普通人打电话给客服线询问事情一样，但会故意放慢速度，占据电话线路。Exploit攻击者利用网络设备或系统的漏洞进行攻击。