理解容量型與放大式 DDoS 攻擊
容量型 DDoS 攻擊仍然是互聯網上最常見且具破壞性的拒絕服務活動之一。儘管攻擊手法不斷演變,但其核心目標始終如一:通過流量淹沒目標來耗盡其網絡容量。本文將探討容量型攻擊的運作方式、放大技術如何融入其中,以及防禦者在偵測和緩解這些威脅時應了解的要點。
什麼是容量型 DDoS 攻擊?
容量型 DDoS 攻擊旨在通過發送大量數據來消耗目標系統或其上游供應商的帶寬。這些攻擊設計成淹沒網絡層(Layer 3)和傳輸層(Layer 4),有效地阻塞所有可用容量。這種方法不試圖利用應用程序漏洞,而是專注於對互聯網連接的粗暴破壞。
容量型攻擊的運作方式
容量型攻擊的核心是使用大量封包,通常來自分散的來源,來飽和鏈路和基礎設施。最常見的機制包括:
UDP 洪水攻擊
UDP 洪水攻擊發送大量的用戶數據包協議(UDP)封包到受害者的 IP 地址上的隨機或目標端口。由於 UDP 是無狀態的,服務器要么處理流量,要么響應 ICMP 目標不可達消息,消耗額外的資源。
ICMP 洪水(Ping 洪水)
這種方法發送大量的 ICMP Echo Request(ping)封包,通常直接針對基礎設施或端點。一些變體使用廣播地址來生成放大的 ICMP 回應到偽造的受害者 IP。
基於 TCP 的洪水
雖然在純容量型活動中不太常見,TCP SYN 洪水和 RST 洪水可以用來消耗連接表上的狀態,特別是如果與其他策略結合使用。
攻擊的關鍵特徵
- 攻擊目標:最大化流量以飽和帶寬
- 測量方式:通常以 Gbps 或每秒封包數(pps)計算
- 常見協議:UDP、ICMP、TCP SYN
- 僵屍網絡需求:通常需要大規模的分散流量來源
- 緩解挑戰:僅憑流量大小就能在進行更深層過濾之前淹沒鏈路
放大式攻擊:容量型攻擊的一個子類
放大式攻擊是一種更高效的容量型 DDoS 變體。攻擊者不是直接發送大量流量,而是向脆弱的第三方服務器發送小型偽造請求,這些服務器隨後向目標回應更大的回應。這使得攻擊者能夠將其輸出帶寬倍增,將小投入轉變成大規模洪水。
放大攻擊的運作方式(逐步解析)
- 偽造來源:攻擊者發送帶有受害者 IP 地址的偽造請求。
- 開放服務回應:脆弱的服務器以更大的回應回應。
- 受害者被淹沒:回應被定向到受害者,消耗其帶寬。
常見的放大向量
| 協議/服務 | 向量描述 | 放大比率(典型) |
|---|---|---|
| DNS | 發送到開放解析器的查詢(如 ANY/TXT) | 30x–100x |
| NTP | 利用 monlist 命令 | 20x–200x |
| Memcached | 偽造查詢導致多 Megabyte 回應 | 高達 50,000x |
| CLDAP / SSDP | 具有不良訪問控制的輕量級協議 | 50x–70x |
這些服務經常因配置不當或遺留部署而暴露。其放大比率取決於回應大小與請求大小的比例。