攻击与威胁
DDoS 放大攻击
别称: 反射型 DDoS, 放大攻击
定义
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
放大(或反射)型 DDoS 攻击利用了对小型 UDP 请求会返回大型应答的互联网服务。攻击者将源地址伪造为受害者 IP,反射服务器便会把巨大的应答发回受害者。放大倍数——应答与请求字节比——可从几倍(NTP MONLIST)、几十倍(DNS ANY、SSDP)直至数千倍(memcached 曾创下纪录)。这使得相对有限的资源即可发起数 Tbps 级别的攻击。缓解措施包括对源地址进行入口过滤(BCP 38 / RFC 2827)、关闭或限制易被滥用的服务、对反射节点限速,以及借助清洗中心吸收放大流量。
示例
- 攻击者伪造受害者 IP,向数千个开放解析器发送 DNS ANY 查询,造成大量响应涌向目标。
- 暴露于公网的 memcached 服务器被利用,放大倍数超过 5 万倍。
相关术语
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
DNS 放大攻击
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
NTP 放大攻击
利用 NTP 的 MONLIST 等命令实施的反射型 DDoS,使 NTP 服务器向伪造的受害者地址返回体积巨大的数据包。
Smurf 攻击
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
Fraggle 攻击
Smurf 攻击的 UDP 变种,将伪造的 UDP echo 或 chargen 包发送到网络广播地址,使所有响应主机向受害者发起洪水流量。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。