攻击与威胁
分布式拒绝服务攻击 (DDoS)
别称: DDoS
定义
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
DDoS 攻击借助大量被控制的主机(僵尸网络)、开放反射器或租用的压力测试/启动器服务,同时从多个来源向受害者发送流量或请求,从而使流量难以过滤,并轻易耗尽其处理能力。攻击分布在多个层次:容量型攻击占满链路(常通过放大实现);协议型攻击耗尽防火墙、负载均衡等有状态设备;应用层攻击则用看似合法的请求消耗高成本端点。常被用于勒索、黑客行动主义、商业破坏,或作为其他入侵的掩护。缓解措施依赖于大容量清洗网络、Anycast、本地或云端 DDoS 防护服务、基于行为的限速以及成熟的事件响应手册。
示例
- 类 Mirai 僵尸网络以 1.5 Tbps 的 UDP 流量冲击 DNS 服务商,导致依赖它的站点离线。
- 来自数千客户端的 HTTP/2 "Rapid Reset" 洪水耗尽负载均衡器的 CPU。
相关术语
拒绝服务攻击 (DoS)
通过耗尽系统的带宽、算力、内存或应用层资源,使合法用户无法访问服务的攻击。
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
DNS 放大攻击
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
NTP 放大攻击
利用 NTP 的 MONLIST 等命令实施的反射型 DDoS,使 NTP 服务器向伪造的受害者地址返回体积巨大的数据包。
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
僵尸网络
由受恶意软件感染、由攻击者远程控制以执行协同动作的联网设备组成的网络。