什麼是傳輸與狀態耗竭型攻擊
傳輸與狀態耗竭型攻擊是針對連線管理而非帶寬的 DDoS 威脅類別:
傳輸攻擊
傳輸攻擊集中於濫用傳輸層協議如 TCP 和 QUIC,以干擾連線建立、終止或握手過程。常見例子包括 SYN 洪水和偽造的 TCP 重置洪水。
狀態耗竭攻擊
這類攻擊針對設備為連線追蹤分配的狀態資源,如記憶體、CPU 和連線表。透過創建大量半開、停滯或格式錯誤的連線,這些攻擊會消耗關鍵基礎設施的容量。
儘管這兩者密切相關(傳輸攻擊常引發狀態耗竭),但區分它們有助於了解攻擊機制和制定緩解策略。
為何傳輸與狀態耗竭攻擊重要
與淹沒帶寬的流量洪水不同,這些攻擊利用連線管理的非對稱成本。少量的惡意流量可以觸發在防火牆、代理伺服器和應用伺服器中的不成比例的資源消耗,導致宕機或服務降級。
這些攻擊隱蔽且更難偵測,因為它們可能產生中等流量,但通過耗盡 CPU、記憶體或連線表造成巨大影響。
常見攻擊向量及其影響
下表總結了一些常見的傳輸與狀態耗竭攻擊向量。我們為每一種攻擊強調了目標協議層、顯著的峰值攻擊指標,以及被利用的核心資源或機制。
| 攻擊類型 | 協議層 | 描述 | 顯著峰值影響 | 目標資源 |
|---|---|---|---|---|
| SYN 洪水 | 3/4 | 通過發送未完成握手的 SYN 封包來淹沒半開 TCP 連線 | 4.2 Tbps | 半開 TCP 連線隊列 |
| TCP 重置洪水 | 4 | 偽造 TCP RST 封包以提早終止合法會話 | 11 Mpps | 會話終止 |
| HTTP/2 快速重置 | 7 | 發送過多的 RST_STREAM 幀以延遲後端處理 | 398M 每秒重置(2023年) | 後端線程池耗竭 |
| HTTP/2 延續 | 7 | 發送無盡的 CONTINUATION 幀而無 END_HEADERS 標誌,導致記憶體和 CPU 耗竭 | 概念驗證(2024年) | 記憶體溢出,CPU 峰值 |
| QUIC-Loris 初始洪水 | 4/7 | 濫用 QUIC 0-RTT 握手循環,造成高 CPU 負載 | 高 CPU 負載(2025年) | 握手期間 CPU 耗竭 |
| gRPC 設定/HPACK | 7 | 發送連續的 SETTINGS 幀並濫用標頭壓縮以延遲應用程序 | 持續自2019年至2024年 | 應用程序延遲 |
| IP 碎片重疊 | 3 | 發送重疊的 IP 碎片以耗盡重新組合緩衝區 | 80 Gbps | 緩衝區溢出 |
| 脈衝波調製 | Meta | 交替的突發和靜默以逃避檢測 | 300–350 Gbps 突發(2024年) | 基線檢測逃避 |
攻擊運作原理:傳輸 vs. 狀態耗竭
傳輸攻擊
如 SYN 洪水,通過向伺服器發送大量的 SYN 封包來淹沒 TCP 握手過程,留下許多半開的連線消耗資源。
TCP 重置洪水
利用偽造的 RST 封包來破壞正在進行的連線,導致伺服器頻繁地中斷服務。
這些攻擊手法對企業的網路安全和服務穩定性構成嚴重威脅。為了有效應對這些威脅,北斗數位 BDHWeb 提供多層次的 DDoS 防禦解決方案,確保您的業務運行穩定。