本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
拒绝服务攻击简介
拒绝服务 (DoS) 攻击或事件是故意使用户无法访问网站或应用程序的行为,例如向其充斥网络流量。攻击者使用各种技术,消耗大量网络带宽或占用其他系统资源,从而中断合法用户的访问。在最简单的形式中,孤独的攻击者使用单一来源对目标进行 DoS 攻击,如下图所示。
描绘 DoS 攻击的示意图
在分布式拒绝服务 (DDoS) 攻击中,攻击者使用多个来源策划针对目标的攻击。这些来源可能包括分布式的受恶意软件感染的计算机、路由器、物联网设备和其他端点。下图显示了一个由参与攻击的受感染主机组成的网络,这些主机生成了大量数据包或请求,使目标不堪重负。
描绘攻击的示意图 DDoS
开放系统互连 (OSI) 模型中有七个层,下表对它们进行了描述。DDoS攻击最常见于第 3、4、6 和 7 层。
-
第 3 层和第 4 层攻击对应于OSI模型的网络层和传输层。在本白皮书中, AWS 将这些攻击统称为基础设施层攻击。
-
第 6 层和第 7 层攻击对应于OSI模型的演示层和应用层。本白皮书将这些问题作为应用层攻击一并解决。
此 paper 将在以下各节中讨论这些攻击类型。
表 1 — OSI 型号
| # | 层 |
单位 |
描述 |
向量示例 |
|---|---|---|---|---|
| 7 | 应用程序 |
数据 |
网络进程到应用程序 |
HTTP洪水,DNS查询洪水 |
| 6 | 呈现方式 |
数据 |
数据表示和加密 |
传输层安全 (TLS) 滥用 |
| 5 | 会话 |
数据 |
主机间沟通 |
不适用 |
| 4 | 传输 |
分段 |
E nd-to-end 连接和可靠性 |
同步 (SYN) 洪水 |
| 3 | 网络 |
数据包 |
路径确定和逻辑寻址 |
用户数据报协议 (UDP) 反射攻击 |
| 2 | 数据链接 |
帧 |
物理寻址 |
不适用 |
| 1 | 物理 |
Bits |
媒体、信号和二进制传输 |
不适用 |
