簡介:阻斷式服務攻擊
阻斷式服務 (DoS) 攻擊是蓄意嘗試使網站或應用程式無法供使用者存取的行為,例如,用網路流量使其氾濫。攻擊者會使用各種技術,其會消耗大量網路頻寬或佔用其他系統資源,從而干擾合法使用者的存取。最簡單的形式是,單一攻擊者會使用單一來源對目標執行 DoS 攻擊,如下圖所示。
表 1:DoS 攻擊圖
在 DDoS 攻擊中,攻擊者會使用多個來源以協調對目標的攻擊。這些來源可以包括分散式群組,包括受到惡意軟體感染的電腦、路由器、IoT 裝置和其他端點。下圖顯示參與攻擊、產生大量封包或請求以將目標壓倒的受損主機網路。
DDoS 攻擊圖
開放式系統互連 (OSI) 模型中有七層,在開放式系統互連 (OSI) 模型表中對這些層進行說明。DDoS 攻擊最常見於第三層、第四層、第六層和第七層。第三層和第四層攻擊與 OSI 模型的網路層和傳輸層對應。在本白皮書內,AWS 將它們統稱為基礎設施層攻擊。第六層和第七層攻擊與 OSI 模型的展示層和應用程式層對應。AWS 會將這些項目共同處理為應用程式層攻擊。以下各節討論這些攻擊類型的範例。
開放式系統互聯 (OSI) 模型
| # | 層級 | 單位 | 描述 | 向量範例 |
|---|---|---|---|---|
| 7 | 應用程式 | 資料 |
網路程序到應用程式 |
HTTP 洪水、DNS 查詢洪水 |
| 6 | 展示 | 資料 |
資料展示和加密 |
TLS 濫用 |
| 5 | 工作階段 | 資料 |
中間主機通訊 |
不適用 |
| 4 | 傳輸 | 區段 |
端對端連線和可靠性 |
SYN 洪水 |
| 3 | 網路 | 封包 |
路徑判定與邏輯定址 |
UDP 反射攻擊 |
| 2 | 資料連結 | 影格 |
實體定址 |
不適用 |
| 1 | 實體 | 位元 |
媒體、訊號和二進位傳輸 |
不適用 |
