简介:拒绝服务攻击
拒绝服务(DoS)攻击是故意使用户无法访问网站或应用程序的攻击,例如,通过向其发送大量的网络流量。攻击者使用各种技术,消耗大量网络带宽或占用其他系统资源,从而中断合法用户的访问。最简单的形式是,攻击者本人使用单一源对目标发起 DoS 攻击,如下图所示。
表 1:DoS 攻击示意图
在 DDoS 攻击中,攻击者使用多个源编排针对目标的攻击。这些源可能包括由受恶意软件感染的计算机、路由器、物联网设备和其他端点组成的分布式群组。下图显示了一个由受感染的主机组成的网络参与了攻击,它生成了大量数据包或请求,使目标不堪重负。
DDoS 攻击示意图
开放系统互连(OSI)模型中有七个层,开放系统互连(OSI)模型表中对它们进行了描述。DDoS 攻击最常见于第三、第四、第六和第七层。第三层和第四层攻击对应于 OSI 模型的网络层和传输层。在本白皮书中,AWS 将其统称为基础设施层攻击。第六层和第七层攻击对应于 OSI 模型的表示层和应用层。AWS 将这些统一作为应用层攻击来解决。以下各部分将讨论这些攻击类型的示例。
开放系统互连(OSI)模型
| 编号 | 层 | 单位 | 说明 | 媒介示例 |
|---|---|---|---|---|
| 7 | 应用 | 数据 |
应用程序的网络进程 |
HTTP 泛洪、DNS 查询泛洪 |
| 6 | 表示 | 数据 |
数据表示和加密 |
TLS 滥用 |
| 5 | 会话 | 数据 |
主机间通信 |
不适用 |
| 4 | 传输 | 分段 |
端到端连接和可靠性 |
SYN 泛洪 |
| 3 | 网络 | 数据包 |
路径确定和逻辑寻址 |
UDP 反射攻击 |
| 2 | 数据链路 | 帧 |
物理寻址 |
不适用 |
| 1 | 物理 | 比特 |
媒体、信号和二进制传输 |
不适用 |
