《2022云原生拒绝服务(DDoS)攻击防御机制.docx》由会员分享,可在线阅读,更多相关《2022云原生拒绝服务(DDoS)攻击防御机制.docx(20页珍藏版)》请在三一办公上搜索。
1、云原生拒绝服务(DDoS)攻击防御机制目录1简介62目标73阅读对象74DDOS攻击向量741基于OSl和TCP/IP模型层的DDoS攻击向量842应对DDOS攻击(通过非SDP防御)105 SDP作为一种DDoS的防御机制126 HTTP泛洪攻击与SDP防御146.1战场141.2 攻击解释141.3 防御解释157 TCPSYN泛洪攻击与SDP防御167. 1战场168. 2攻击解释169. 3防御解释168 UDP反射攻击和SDP防御179总结1810术语1911其他阅读材料20附录1:OSl与TCP/IP的层次结构及逻辑协议23附录2:OSI和TCP/IP各层次的DDoS攻击24附录3
2、:DDoS及其他攻击方式的监控地图25附录4:最大规模的DDoS攻击261简介1.1DDoS和DoS攻击定义分布式拒绝服务(DDoS)攻击是一种大规模攻击。在这种攻击中,攻击者使用多个不同的源IP地址(通常有数千个)对单一目标进行同时攻击。目的是使(被攻击者的)服务(或网络)过载,使其不能提供正常服务。由于接收到的流量来源于许多不同的被劫持者,使用入口过滤或来源黑名单等简单技术来阻止攻击是不可能的。当(攻击)分散在如此众多的来源点时,区分合法用户流量和攻击流量变得非常困难。一些DDoS攻击包括伪造发送方IP地址(IP地址欺骗),进一步提高了识别和防御攻击的难度,o拒绝服务(DoS)攻击是一种来
3、自单一来源的攻击,而上述的DDoS攻击是有许多来源的攻击。下图展示了这两种类型的攻击。DDoS攻&3O图1:DOS与DDoS攻击的区别在本白皮书的其余部分,我们将只提及DDoS攻击,但其中的大量内容同样适用于DoS攻击。DDoS的最终目的是压倒一个目标并阻止它向合法用户提供服务。DDoS攻击通常实施于互联网上面向公众的服务,如Web服务器和DNS服务器。正如最近的调查所指出的那样,DDoS当前是并将继续是一个安全问题: 依据【https:/SeCUreliS1季度和第2季度,”数据显示,所有DDoS攻击指标都上升了。攻击总数上升了84%,持续的DDoS会话(超过60分钟)的数量刚好翻了一番”;
4、 来自网站【https:WwW.darkreading,com/PerinIeter1https:/en.wikipedia.org/wiki/Denial-of-service_attackDDoS-for-hire-services-doub1ed-in-q1-/dd-id/1335042的文章指出,DDoS出租服务在2018年第4季度到2019年第2季度翻了一番。为了便于分析,我们将计算机服务分为两大类:公共服务,如DNS服务、web服务和内容分发网络(CDN)这些服务必须在互联网上保持可自由访问,不需要身份识别、验证或授权。保护这些类型的服务免受DDoS攻击不是本白皮书的目标。私有服务
5、,如私有商用应用、员工或客户的工作门户、电子邮件服务器等这些服务旨在提供给明确定义的受众。这些受众具有已知的身份,并可以在使用这些服务之前进行身份验证。这些私有服务是本白皮书的讨论重点,非常适合于使用软件定义边界(SDP)技术来保护其免受DDoS攻击。对于上述两种类型的服务,(提供服务的)组织应当关注其网络服务提供商可提供的检测和缓解服务,因为许多DDoS攻击将影响网络提供商的网络接入服务,通常防御可以在网络的“上游”进行。2目标本文的主要目标是通过展示SDP抵御几种常见攻击(包括HTTP泛洪、TCPSYN和UDP反射)的效率和有效性,提高人们对SDP作为抵御DDoS攻击的工具的认识和理解。3
6、阅读对象本文档的主要目标读者是企业中担任安全、企业架构和法规遵从等角色的人员。这些利害关系人将在很大程度上负责其企业内DDoS防御解决方案的评估、设计、部署或运营。其次,解决方案提供商、服务提供商和技术供应商也将从阅读本文档中受益。4DDoS攻击向量DDoS攻击向量大致分为资源消耗和带宽攻击两类,且可以根据其针对的OSl七层模型中对应层次进行再次分类,如下图所示。此外,还可以根据TCP/IP模型查看,两种模型的比较见附录1和2。注意,TCP/IP四层模型代表了现实世界中的网络当前是如何设置和操作的。OSl代表了一种理想视图,且由于其更详细的分层,通常用于教学和解释目的,本文将使用OSI模型。图
7、中以蓝色高亮的层通常不是DDoS攻击的目标,不包括在我们关注的领域中。从剩下的层中,我们选择了3个以绿色高亮的攻击作为重点。4L基于OSl和TCP/IP模型层的DDoS攻击向量No.OSITCP/IP协议数据单元说明主要攻击焦卢7应用层应用层数据网络进程到应用程序HTTP泛洪攻击和DNS查询泛洪攻击6表示层数据数据表示与加密TLS/SSL攻击5会话层数据主机间通信N/A4传输层传输层数据段端对端连接及可靠性SYN“TCP“泛洪攻击3网络层互联网层数据包路径寻址UDP反射攻击2数据链路层网络接入层帧物理寻址N/A1物理层比特媒体、信号和二进制传输N/A来源:https:应用层攻击应用层DDoS攻
8、击不如传输层和网络层攻击常见 Distribution of DDoS attacks by duration (hours), Q4 2018 & Ql 2019 1 HTTP Get 请求和 HTTP Post 请求,由于不依赖暴力攻击,通常都更复杂。与4层和3层攻击相比,这类攻击的流量要小些,但会集中攻击相对昂贵的应用资源部分(请求大量资源二资源枯竭),从而使真正的用户无法得到资源。这样做的例子包括:在第7层对登录页面或者昂贵的搜索API的HTTP洪水式请求最为人所知的两个的资源损耗攻击是HTTPGet请求和HTTPPost请求攻击(参见HTTPWSDP防御)oGet请求可被用来获取数据
9、,例如图像,Post请求触发需要被(服务器)处理的动作。Get请求和POSt请求都可以由HTTP客户端(通常为Web浏览器)向HTTP服务器(通常为Web服务器)请求。就损耗服务器资源而言,Post请求通常比Get请求更高效,因为其处理过程(比如需要数据库访问)更复杂。近期成功针对亚马逊云(AnIaZonClOUd)、声田(SPotify)、推特(Twitter)等的DDOS攻击是一个很有启发性的事件,需要云安全设计者们认真对待。在介绍对DDoS攻击进行检测、分析和缓解的可扩展云防御方案的文章中(见引用),作者们介绍了目前最先进的云DDoS防御手段。对DDoS攻击者IP地址的检测,(能)产生有
10、力的威慑,(从而)为保护云资源提供重要突破,而且已有部分厂商可以提供该项技术。互联网工程任务小组(IETF)在RFC282/中建议了一种使用入方向流量过滤的方法,以禁止使用伪造IP地址的DOS攻击。这些IP地址通常从互联网服务提供商(ISP)聚集点传播出来。另一种方法通过监控ISP域内的突发流量变化继以识别承载攻击流量的数据流来检测DDoS攻击。作者们仍然认为各种检测机制的固有缺陷是其能力局限于检测已知的攻击特征。他们不能应对那些经常改变攻击特征的狡猾攻击者。II传输层和网络层攻击传输层(第4层)和网络层(第3层)是DDoS攻击最常见的攻击目标,比如通常所说的TCP的同步(SYN)泛洪攻击和用
11、户数据包(UDP)泛洪攻击等反射性攻击。TCP和IJDP都是用于传输数据包的协议。但是,UDP不具备TCP中固有的流控和错误校验机制。第4层和第3层攻击通常在量级上都是巨大的,旨在使网络带宽或者应用服务器过载从而导致资源耗尽%1) TCP泛洪攻击这种攻击方式(参见TCPSYN泛洪攻击与SDP防御)涉及攻击者发送TCPSYN包以尝试完成三次握手过程(一个完整的连接)。目标服务器随后回复SYNACKs(数据包),原本发送方会发送ACKs报文来结束本次连接,但实际攻击服务器不执行该动作。由于目标服务器被配置为保持TCP连接开放直到攻击者发送ACK报文来关闭该连接,一大批类似的不完整的连接将耗尽目标服
12、务器上的资源,包括最大所允许的开放TCP连接数等。4 DDoS攻击使亚马逊云客户受到强烈冲击.https:WWW5 https:/www.ietf.org/rfc/rfc2827.txt6 2) UDP泛洪攻击简单UDP攻击的原理与TCPSYN同步泛洪攻击类似,数据包被发送到目标服务器,最终形成需要(服务器)分配资源进行处理的未完成的服务请求。更具体一点,UDP数据包被攻击者直接发送到受害者的特定服务器和端口请求服务。FI标系统查询(攻击者)请求但实际并不存在的服务,并回复给攻击者一个KW“目标不可达”报文,指示该项服务是不可达。与SYN“TCP”泛洪类似,这些无效UDP数据包形成的泛洪能够压
13、倒(目标)系统0UDP反射攻击:另一种稍微有所不同的UDP攻击(参见UDP反射攻击&SDP防御)需要攻击者假冒目标服务器的IP地址并假装以该地址为源头发起对互联网上公开服务的查询,(这些公开服务)将发出响应并传送给目标(服务器)。使用这种攻击方式通常是被挑选的,响应结果的数据量往往远超过请求本身(例如超过100倍)。响应会被发送给这个伪造TP的真实用户。这种攻击向量允许攻击者生成巨量数据包从而形成巨大的攻击流量,同时使目标(服务器)很难确认攻击流量的原始来源。注意,TCP反射攻击也是可能的。过去十年中互联网上出现的一些重大的DDoS攻击都与反射放大有关。参见附录4:最大的DDoS攻击事件42则
14、DDoS攻击非SDP防御)DDoS攻击能够通过组合使用检测、转移、过滤、分析等方法进行应对(除进行阻止的SDP应对措施外)。检测的目的是在达到危害级别前就识别出攻击。检测之后,流量被转移进行过滤,继而被丢弃或者驻留供分析。没有被丢弃的流量将被过滤以便正常流程通过。非法流量将被丢弃或者驻留供分析。驻留流量需要被分析以获取各种信息,帮助安全系统在将来更具韧性97层:应用层-数据一种应对方法是采用Web应用防火墙(WebApplicationFirewall,WAF)0WAF带有被设计用于识别过大流量的规则,一旦检测到(过大流量)就使系统限制流量(速率限制)。6层:表示层-数据避免此层攻击的一种方法
15、是将安全的套接字层(SeCUreSocketLayer,SSL)请求卸载到应用程序交付平台(APPIiCationDeliveryPlatforn1,DP)o该平台完成会话报文的解密、检查工作之后再通过SSL或者TLS协议重新加密请求。这可以消除该部分对Web服务器的过载(避免资源耗尽),释放Web应用资源,从而使得这些资源不被DDoS攻击。7Here,saclearexplanation:8httpswww.usenix.orgsystemfilesconferencewootl4wootl4-kuhrer.pdf94层:传输层-数据段空路由(黑洞,BlaCkHOIing)把网络流量引导到一
16、个并不存在的IP地址,沉洞(SinkhoIing)基于恶意IP地址列表把网络流量进行转移,而边界网关协议(BorderGatewayProtocol,BGP)可以把所有网络报文转移到清洗服务器上。3层:网络层-数据包除了上述技术外,ICMP速率限定可以用来限制网络数据流。速率限制配置在防火墙上,路由器和交换机也具备速率限制的能力。正如泛洪攻击可以被认为是暴力攻击一样,速率限制可以被认为是暴力攻击的一种应对方式。不适用的:5层:会话层-数据2层:数据链路层-帧1层:物理层-比特5SDP作为一种DDoS的防御机制上文所述的检测,转移,过滤和分析等技术适用于与DDoS攻击相关的大量数据包。与资源损耗
17、DDoS攻击相关的许多小型畸形数据包由于很难被检测到,通常会绕过这些技术,因此它们很难被检测到。此外,这些技术很昂贵,而且经常会过滤掉正常的数据包。SDP被设计为在丢弃所有攻击数据包的同时仅允许正常的数据包通过。总的来说,对于SDP,主机是隐藏的,客户端与(通常有多个)边界协作,从而使正常数据包能被SDP知晓而上游路由器能获知要被阻止的坏数据包。为了说明SDP能被如何用作DDoS防御机制,我们将以开源参考实现为例。在参考实现中,客户端(用户通过设备)以加密的方式登录边界。CTGMXMa一aCSFW户一图2:参考实现参考SDP标准,服务器所有面向互联网的接口(AH环境)只有在向SDP控制器(CT
18、)和网关(G)环境中注册后才可用。通常遵循以下顺序,建立一个配置为DDoS防御机制的SDP:1 .设置控制器环境和网关以建立边界;隐藏服务/服务器。2 .希望连接到这些隐臧服务器的用户登录并获得一个唯一的ID(每台设备),一个客户端证书和加密密钥。a)作为一种选择,用户可以通过自助服务网站自行注册,该网站也会确认他们(用户)用于连接到隐藏服务器的设备。b)作为一种选择,用户的地理位置将被SDP记录,并用作多因素身份认证的一个属性。3.用户通过使用设备上的SDP客户端建立与隐藏服务器的连接。4 .客户端发送一个初始的单包授权(SPAiO)数据包,并由SDp控制器和网关进行合法性校验,以匹配注册时
19、提供的用户信息。5 .SPA数据包中的信息被验证,并与在注册过程中收集的客户端信息进行匹配。6 .如果设备验证和用户信息有效,用户将被授予访问边界内服务的权限。(IP地址可以通过与存储的位置匹配以便验证,但不是必需)。7 .接受主机网关打开防火墙相应端口以允许连接到隐藏服务。SDP给出的上述流程对于允许正常数据包进入而丢弃所有非正常数据包非常有效。1)将服务隐藏在默认拒绝所有(Deny-All)的SDP网关后面,2)在打开防火墙以建立连接之前对设备上的用户进行身份验证,和3)使用动态防火墙机制允许SDP在DDoS攻击期间像交换机转发一样快速丢弃数据包O一项由DHS(www.W在服务受到保护而免
20、受DDoS攻击的同时,SDP网关和SDP控制器将需要忍受DDoS攻击的冲击。但是研究表明,使用初始的基于UDP的SPA数据包大大减少了SDP网关和SDP控制器的暴露。更多关于对SDP控制器进行负载均衡的研究可能会显示SDP网关和SDP控制器的其他配置选项是减少DDoS攻击威胁的有效技术。与实现同样功能的其他技术相比,使用轻量级SPA协议开启进入边界的入口使得对无效数据包的检测更加有效。通过利用SPA的轻量级特性并与拒绝所有(Deny-All)的防火墙默认设置相结合,IoT和类似系统也可以受益。类似的流程可以被用于上述客户端-服务器模型之外的其他SDP模型。这些模型在SDP架构指南中定义。总之,
21、SDP具有对抗DDoS攻击的韧性,因为它们利用了一种计算上轻量的机制(SPA)以区分授权和未授权用户(即使来自远程系统)。绝大多数DDoS流量是由未经授权的用户发起的;因此,DDoS流量可以被SDP网关拒绝而不会在服务器上造成沉重的计算负担。SDP应该与来自ISP的上游DDOS检测和缓解服务(例如内容分发者,如Akamai;网络硬件提供商,如Avaya;网络提供商,如Verizon等)结合,从而比现今提供的措施更有效和预防性更好。本文的其余部分将专门用于展现SDP作为针对以下三种广为人知的DDOS攻击类型的阻断机制的操作,这三种攻击类型在基于OSl和TCP/IP模型层的DDoS攻击向量中提到过
22、:HTTP泛洪攻击,UDP反射攻击,TCPSYN泛洪攻击。有关该概念的详细信息,请参见https:/cipherdyne.org/fwknop/docs/SPA.html,并参考SDP规范以了解其在SDP中的用法。6HTTP泛洪攻击与SDP防御6.1 战场图3:HTTP泛洪攻击和SDP防御6.2 攻击解释此类攻击可归类为OSl第7层应用攻击(参见基于OSl和TCP/IP模型层的DDoS攻击向量),因为其攻击目标通常是Web服务器/应用。止匕外,也可以被归类为资源损耗攻击,因为其目标是使服务器/应用程序的资源过载。最后,其通常是由攻击者控制的大量计算机(botnet)将大量数据包发送给单个服务。
23、由于此攻击使用来自表面上合法的设备合法构造的请求,此类攻击很难被检测和阻止。HTTP泛洪攻击 攻击者通过用恶意软件感染来获取(通过网络钓鱼或其他方式)僵尸网络设备; 恶意软件是“命令和控制”类型,允许发送HTTPPOST请求; HTTPPOST请求包含需由目标数据库(DB)处理的表单; 僵尸网络浏览器与目标Web服务器建立TCP连接(三次握手); 僵尸网络浏览器发送带有表单的HTTPPOST请求以进入目标数据库; 目标的Web服务器/应用程序尝试处理HTTPPOST请求大量处理输入到数据库中的表单和资源消耗,会耗尽Web服务器/应用资源,减慢了处理速度或使处理停止。6.3防御解释由于此类攻击的
24、关键是使用看起来合法、想要连接到看起来合法的PoSt请求的设备,挫败此类攻击最有效的方法是完全阻止任何连接。SDP通过使目标服务器对未经授权的设备不可见来防止攻击。1攻击者的僵尸网络无法识别目标Web服务器,因为僵尸网络设备尚未注册到SDP的控制器。2僵尸网络,即使可以找到隐藏服务器的SDP网关,也无法将其连接到SDP网关,因为其设备没有安装将所有通信定向到SDP控制器的SDP客户端。3除了将通信定向之外,缺少的SDP客户端还包含唯一ID(每个设备)、客户端证书和加密密钥。4僵尸网络永远无法连接因为SDP控制器无法证明/验证其中包含提供给授权设备的用户信息的单数据包授权(SPA)。5因此,SD
25、P控制器永远无法验证和匹配所需的客户端信息。6缺少安装在botnet设备上并注册过的SDP客户端(带有ID、证书和加密密钥),SDP控制器和SDP网关将不会授权对边界进行访问。7最后,除非被SDP控制器授权,保护web服务器的SDP网关不会打开防火墙以允许连接到隐藏服务。但是,如果IP地址公开或攻击者通过某种方式定位到IP地址,SDP网关将无法识别这些设备并将丢弃所有己传递的数据包(POST请求)。如果攻击者走到这一步,尝试进入时留下的痕迹和被丢弃的数据包会提供可以被用于分析的证据和数据,以改善防御和/或起诉攻击者。7TCPSYN泛洪攻击与SDP防御7.1 战场凌唯客户第YN- SYNSYN合
26、法古户,QL.G网关 AH-疾受王机 V HK1B CT拄制台 GSoP春户蠲 一投利信*_型音户.Ou I图4:TCPSYN洪泛攻击和SDP防御7.2 攻击解释SYN泛洪攻击,例如最近每秒5亿个数据包的DDoS攻击,(https:WWw.7.3 防御解释SDP网关提供了一种防护,将来自恶意客户端的所有数据包丢弃,同时允许来自合法客户端的数据包进入保护目标的边界。其他通过配置网络带宽和检查数据包的防御机制,不区分合法客户端和恶意客户端,对即使是合法的数据包也会限制,从而使SDP成为在SYN泛洪攻击下继续运行的更有效的解决方案,无论数据包速率或数据包数量如何。12SDP防御的步骤1-7顺序已在前
27、面的章节中描述8UDP反射攻击和SDP防御8.1 战场防御攻击攻击系统口口口UDFUDeG-网关AH-接受主机HISfBilCT控制BCSDPWPM+控IW信道图5:UDP反射攻击和SDP防御SDP防御的步骤1 - 7顺序已在前面的章节中描述。UDP反射攻击能够很有效和隐秘,因为不需要攻击者和目标之间的任何直接沟通。这些攻击通常从一群分散的被劫持系统(僵尸网络)发起,从而进一步模糊了攻击的实际来源。8.2 攻击解析这种类型的攻击基于UDP作为一种无认证和无连接协议的内在不安全性。UDP数据包(具体来说,数据包头)很容易被伪造,所以对被请求的“服务”的响应被导向到了初始UDP数据包中伪造的受害者
28、IP地址。因此,UDP请求的响应从攻击者“反射”到受害者。放大是一种反射攻击,其中响应是不成比例的大(放大),因此压倒了受害者的网络或机器。攻击者通常选择具有大放大因子的服务从而可以更有效地DOS攻击受害者。放大因子的大致范围从一个ICMPPing命令的1(没有放大)到某些DNS攻击的28-54左右,再到某些NTP攻击的550o其它服务可能导致更大倍数的放大,最显著的是memcached,根据数据库内容的不同,放大因子可达50000O链接:httpswww.us-cert.govncasalertsTA14-017A8.3 防御解析基于UDP的服务自身不能被保护起来,因为UDP本质上是一种无须
29、验证或授权就进行数据包传递的开放机制。一些面向公众的UDP服务,如NTP或DNS,则必须保持公开,因此可被利用而参与这种类型的DoS攻击。但是,非公开的服务,即只被可识别的用户群或服务器群消费的服务,非常适合使用SDP进行防护。通过将这些服务放在SDP网关之后,组织能够强化访问控制使得只有授权的用户(或设备及服务器)才能发送UDP数据包到这些服务。这就消除了攻击者使用这些UDP服务进行反射攻击的能力。注意,运行恶意软件的授权客户端设备当然可能被用于启动这种类型的反射攻击。9总结本文的目的是通过展示SDP防御几种常见攻击的效率和有效性,增强对SDP作为防范DDoS攻击的工具的意识和理解。为此我们
30、在简介一章中给出了DDoS和DOS攻击的定义。然后,在下一章DDoS攻击向量中我们展示了基于OSl和TCP/IP模型层的DDoS攻击向量。从表格中我们选择了三个著名的攻击作为重点:1 .第7层应用层-HTTP泛洪攻击(与前面保持一致)2 .第4层传输层-SYN“TCP”泛洪攻击3 .第3层网络层-UDP反射攻击选择了关注的攻击向量和攻击后,我们详细地从概念性上解释了他们。在接下去的一章应对DDoS攻击(通过非SDP防御)中,我们描述了在OST各层中使用的非SDP缓解措施。紧接着是SDP作为一种DDoS的防御机制。这里我们首先描述了部署和配置SDP作为DDoS防御时应遵循的事件次序。然后我们列举
31、了该部署所提供的保护,包括:1拒绝所有(Deny-All)的SDP网关之后的不可见服务;2在打开防火墙建立连接前认证设备上的用户;3使用动态防火墙机制,以允许,或者允许SDP,在DDoS攻击时以与服务他们的交换机类似的速度丢弃数据包。最后,我们使用SDP作为防御机制查看了以下三种攻击: HTTP泛洪攻击及SDP防御 TCPSYN泛洪攻击及SDP防御 UDP反射攻击及SDP防御对于上述的每个攻击我们都以图示描述了攻击和防御,并在图例之后附以详细解释。对于每种攻击我们的结论都是SDP提供了充分的防御。总之,对于所讨论的几种攻击,SDP是一种有效且高效的DDoS防御机制。SDP配置的某些属性如拒绝所
32、有(Deny-All)网关和SPA还可用于应对很多其它攻击。如果你将SDP与上游ISP和内容及网络提供商的DDoS检测和缓解服务结合,你就具有全面的DDoS纵深防御。10术语BGP边界网关协议是用于分发和计算组成互联网的成千上万自治网络之间的路径的控制协议。僵尸网络己经被攻击者攻陷以用于执行恶意攻击的计算机。ICMP互联网控制消息协议,与TCP和UDP不同,主要用于错误、操作或诊断消息/目的,例如请求服务不可用,主机或路由器不可达,或用于ping和traceroute分析。入口过漉这是一种确保标识为来自一个特定地址的数据包的确来自这一地址的方法。有各种各样的方法实现这一过程,其中最好的方法记录
33、在互联网工程任务组BCP38和BCP84中。IP地址欺骗在创建TP数据包时使用一个假的源TP地址,这称为欺骗。这样做是为了隐藏攻击者的身份。畸形数据包这是任何不能被数据包协议解析器解析的包。该数据包没有遵循对应的协议规范例如TCP或UDPo签名(攻击)攻击所固有的数据、流量或事件。这些信息被入侵检测系统(IDS)用于识别攻击的发生并随之发出告警。附录1:OSI与TCP/IP的层次结构及逻辑协议网络模型OSI模型TCP/IP模型应用层表示层应用层会话层传输层传输层逻辑协议dosillLsalu.TCPSdlIHd:IlHdc8SNaUDPIGMPdHNSSZMEd03dEQlEARP I RAR
34、P 网络层网际层数据链路层网络接口层 物理层IP物理协议E ULUUexol Eeu:IWNOs工ClSHCJd2Q0参考:https:WWW.inetdatutorialsbasicCOnCe/tsnetworkmodels/COmPariSon.shtmOSI和TCP/IP的相似点包括了:均采用层次结构。均包含应用层,尽管它们在该层所包含的服务有着很大的差异。 均包含对应的传输层和网络层。 均需要被网络专业人士所了解。 均假设数据包是可交换的。这意味着各个数据包可以通过不同的路径到达相同的目的地。这与所有包都走相同路径的电路交换网络有所不同。OSI和TCP/IP的不同点包括了: TCP/I
35、P将会话层和表示层的问题归并到它的应用层。 TCP/IP将OSl的数据链路和物理层归并到它的网络接口层中。 TCP/IP看起来更简单,因为它的层数更少。 TCP/IP协议是互联网发展的标准,因此TCP/IP模型因其协议而获得认可。相反,网络通常不被构建在OSl协议上的,即使OSl模型被用作指导。附录2:OSl和TCP/IP各层次的DDOS攻击OSI层7654321TCP/IP层4321DDoS攻击类型名称应用层表示层会话层传输层网络层数据链路层物理层Smurf攻击不适用X不适用不适用ICMP泛洪攻击不适用X不适用不适用IP/ICMP分片攻击不适用X不适用不适用SYN泛洪攻击不适用X不适用不适用
36、UDP泛洪攻击不适用X不适用不适用其他TCP泛洪攻击(Spoof/Non)不适用X不适用不适用TCP连接耗尽攻击不适用X不适用不适用IPSec泛洪攻击IKE/ISAKMP相关不适用X不适用不适用满传输速率攻击不适用X不适用不适用长连接TCP会话攻击不适用X不适用不适用其他连接泛洪不适用X不适用不适用SSL耗尽攻击X不适用不适用不适用伪造证书攻击X不适用不适用不适用中间人攻击X不适用不适用不适用反射/放大攻击(DNS、NTP)X不适用不适用不适用应用请求泛洪攻击X不适用不适用不适用其他泛洪攻击(SMTP、DNS、SNMP、FTP、SIP等)X不适用不适用不适用针对性的应用攻击X不适用不适用不适用
37、数据库连接池资源耗尽攻击X不适用不适用不适用资源耗尽攻击X不适用不适用不适用HTTPPOST请求耗尽攻击X不适用不适用不适用HTTPGet请求耗尽攻击X不适用不适用不适用模拟用户访问攻击X不适用不适用不适用Slowread攻击X不适用不适用不适用SlowPOST攻击X不适用不适用不适用SlowIoris攻击X不适用不适用不适用附录4:最大规模的DDoS攻击日期攻击目标攻击流量强度(TB/秒)被攻击的设备设备漏洞触发点攻击手段2018年3月“USSP1.7Memcached服务器访问认证“反射放大型”DDoS2018年2月西Github1.3Memcached服务器访问认证“反射放大型”DDoS2016年10月“DynDNS1.2数百万IoT设备认证TCP、UDP洪攻击
