現代 DDoS 攻擊向量分類與解析
DDoS 攻擊向量概述
當網路運營中心的警示燈亮起時,您沒有五秒鐘的時間延遲。如果此時還依賴手動應對,那將是一份艱鉅的工作。理想情況下,您已經預先加載了針對最常見向量的緩解規則,但當新型攻擊出現時,分類仍然至關重要。了解您面臨的攻擊類型及應對措施,可以在小型事件和重大癱瘓之間劃出界限。
2025 年,攻擊面比以往任何時候都要廣闊。Cloudflare 報告稱,2025 年第二季網絡洪水達到 7.3 Tbps / 4.8 Bpps,而 Google 則抵禦了一場 398 百萬 RPS 的 HTTP/2 快速重置風暴。技術不斷演變,您的防禦邏輯也應如此。
FastNetMon 的 DDoS 分類法
我們根據攻擊的目標進行分類:
| 分類 | 目標 | 關鍵問題 |
|---|---|---|
| A. 體積/放大 | 鏈路、網卡、路由器 | 它會填滿我的頻寬嗎? |
| B. 傳輸/狀態耗盡 | 防火牆、代理、操作系統堆棧 | 它會耗盡我的狀態表嗎? |
| C. 應用/資源濫用 | CPU、數據庫、API | 它會消耗我的後端資源嗎? |
| D. 隱蔽/調制技術 | 檢測啟發式算法 | 它會避開閾值嗎? |
體積與放大攻擊
它會填滿我的頻寬嗎?
體積和放大類型的 DDoS 攻擊旨在消耗網絡頻寬,通常在流量到達應用層之前就已使路由器、交換機和防火牆負擔過重。這些攻擊利用開放或配置不當的服務器來將小請求放大成巨大負載。
常見攻擊向量
- DNS 放大攻擊:利用 UDP 協議,端口 53,最高達到 1.3 Tbps。
- NTP MONLIST 攻擊:利用 UDP 協議,端口 123,回應約 400 Gbps。
- Memcached 攻擊:利用 UDP 協議,端口 11211,放大倍數可達到 1.7 Tbps。
經典的 UDP 放大器如 DNS、NTP 和 CLDAP 仍然被廣泛濫用,這些協議的高放大因子和遺留系統的持續存在使其成為理想的攻擊目標。新趨勢則是利用如 QUIC 等非傳統反射協議進行攻擊,通過濫用初始握手行為或負載均衡器錯誤配置,攻擊者可以觸發大範圍的放大模式。
防禦措施
在防禦方面,使用 BGP Flowspec、訪問控制列表 (ACL) 和上游清洗提供商的網絡層過濾是關鍵。檢測必須超越絕對流量,考慮協議異常和分散模式。
若想更深入了解體積與放大攻擊,請參閱完整指南。
傳輸與狀態耗盡攻擊
它會耗盡我的防火牆或代理嗎?
攻擊向量
- SYN 洪水:利用半開連接隊列耗盡。
- TCP 重置洪水:通過偽造 RST 斷開會話連接。
- HTTP/2 快速重置:利用多個 RST_ST ...
更多類型的攻擊及其對應的防禦策略將在後續章節中詳細探討。