资料来源:Arbor,iThome整理製图,2016年12月
DDoS并非是新手法,早在2000年就出现了,不过随着IoT殭尸大军的出现,让DDoS攻击更具威胁。DDoS攻击常见两种策略,一是耗尽频宽,第二策略就是耗尽系统资源,如耗尽记忆体、处理器等系统内部资源,导致系统无法处理合法的服务请求。攻击者也可能同时採取这两种策略。
若从网路协定层级来看,DDoS攻击主要锁定了Layer3(网路层)、Layer4(传输层)和Layer7(应用层)这三层。资安专家刘俊雄以开店做生意来比喻,网路出入口及上游像商店的门口跟前方道路,攻击者在Layer3攻击,如同一群人在商店门口前堵住了大门和马路,正常要购物的人就无法进入商店而被阻挡在外。接着,他比喻网路基础建设,如同商店内的设施及走道空间,攻击者在Layer4的攻击方式,是要把攻击目标的伺服器、记忆体的资源耗尽,就像是一群人把商店内的走道和空间都堵住,正常流量无法在网站里面进行浏览。最后,他比喻应用系统就像结帐柜檯,攻击者针对Layer7的攻击,如同一堆人在柜檯前面以假装结帐的方式故意瘫痪柜檯,无法为正常使用者提供服务。
刘俊雄将DDoS攻击归纳成两大类,分别是「打得大」跟「打得巧」两种。前者以攻击者藉由传输大量封包到攻击目标的网路设备,造成对方的网路瘫换。这种型态的攻击操作门槛低,他认为,「打得大」将是未来主要的攻击型态。
「打得大」早期常见是以1对1方式来瘫痪目标的DoS攻击,不过现在常见的DDoS则是利用了反射和放大(Reflection and Amplification)流量的技巧来扩大攻击规模,这也是今年常用手法。随着IoT产业的发达促使更多人使用IoT装置,以及Mirai公布开源码后,在未来几年这类由IoT殭尸网路发动的攻击频率会越来越高,而且攻击规模也会逐渐增大。
「打得巧」的DDoS攻击型态则不是透过超大流量来发动攻击,而是锁定网路系统漏洞或是协定机制的缺陷进行攻击,过去2、3年较盛行。此类攻击包括SYN Flood、Fragment Packet Flood(碎片攻击)、Slow Attack(慢速攻击)以及Exploit(漏洞攻击)。
SYN Flood攻击是在TCP连线三向交握通讯模式中,跳过传送最后ACK资讯,或是在SYN里面透过假造的IP位址,让伺服器发送SYN-ACK封包到假造的IP位址,所以永远无法收到ACK的资讯。透过这样的方式,伺服器可能会花很多时间等抄收通知,造成网路的壅塞让网站瘫痪。第二种 Fragment Packet Flood是指攻击者透过发送极小的封包碎片绕过过滤系统或者入侵检测系统的一种攻击手段。第三种Slow Attack攻击就是攻击者利用通讯协定中的漏洞,对攻击目标的伺服器建立较缓慢的网路连线,并且刻意将回应时间拉长让伺服器无法完成网页的需求,占用网路的连线来耗尽攻击目标的系统资源,造成攻击目标的网路瘫痪,就像是一般人打给客服专线询问事情,但会故意放慢速度说话占据电话的线路。最后,Exploit就是攻击者利用网路设备或是系统的漏洞攻击。
I 相关 / Other
童装加盟店十大品牌 酷小鸭童装用多重优势快速致富
现在随着人们生活水平的提高和二胎政策的的响应,得以预见未来的童装行业发展前景也将是像火山一样爆发。那么,已经看到商机的你,是否也想要投入童装市场分
Adobe修补17个Flash漏洞,包含已被攻击的零时差漏洞
示意图。 Adobe于周二(12/13)更新Adobe Flash Player,修补了17个安全漏洞,其中的CVE-2016-7892是已遭受攻击的零时差漏洞。当中有16个安全漏洞属于释放后使用(use-after-free)漏洞、缓冲区溢位(buffer overf
资料来源:Arbor,iThome整理製图,2016年12月 今年9月下旬,号称全球第三大、法国最大的云端服务与主机代管供应商OVH创办人兼技术长Octave Klaba,兴奋地接连在Twitter上宣布了多项自家IT架构大升级的消息,19日才
现代人生活脚步的紧湊及不规律的生活习惯,常常必须依赖B群的提神效果,但许多常见的B群认知却是错误的,今天微笑就整理了一些常见B群的错误认知,提供大家参考选用。(图片提供/微笑药师网)一、常见维生素B的错误认
金正恩视察朝鲜军队(资料图) 国际在线专稿:据韩联社12月12日报道,朝鲜《劳动新闻》12日发表文章称,朝鲜军队和各种打击武器已经做好准备,在等待发动最后攻击的信号。 12日,朝鲜《劳动新闻》发表题为《长白山