面向基础设施的密集攻击的常用攻击手段有哪些
面向基础设施的密集攻击的常用攻击手段有以下这些:
分布式链路洪泛攻击:以往绝大部分DDoS攻击的目标主要是针对互联网上特定的服务器,关于此类攻击的检测和防御研究相对来说还是比较充分的。近年来,一类新的声东击西式的攻击逐渐涌现,即面向链路的分布式洪泛攻击,这类攻击直接的目标是将某条或者某几条精心选择的关键链路带宽耗尽,导致拥塞,但其真实目的还是要使通过这些关键链路连接的服务器(或者子网,甚至区域网络或一个国家的网络)无法向正常的互联网用户提供服务。
面向DNS的攻击检测:域名服务(DNS)是互联网的关键基础设施,是整个互联网能够正常运转的基础,如果DNS设施因为受攻击而无法提供正常的服务可能将导致大量服务器的访问受阻。因此,研究DNS如何抵御DDoS攻击具有十分重要的理论和现实意义。DNS服务在DDoS攻击中涉及两类场景,一类是在反射放大式DDoS攻击中,DNS服务器作为反射代理,攻击者的攻击目标并不是DNS服务器本身;另一类是直接将DNS服务作为攻击对象,事实上,作为互联网最基础、最核心的服务,DNS服务作为DDoS攻击的重要目标也是很自然的事情,打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个国家或地区的网络服务。针对DNS服务器的攻击有多种,例如DNS查询攻击、DNS reply flood攻击、DNS缓存投毒攻击、DNS协议漏洞攻击、Fast flux僵尸网络等。
面向CDN的攻击:CDN目前被广泛应用于互联网中,用来解决网站的性能、安全和可靠性等问题。更具体地讲,CDN通过缓存网站内容提升网站性能;通过过滤恶意请求来提升网站安全性(Web应用防火墙,WAF);并通过提供丰富的带宽和计算资源来化解DDoS攻击。CDN已经逐渐演化成互联网重要的基础设施,承载着主流网站的Web访问流量。然而,CDN本身的安全,尤其是CDN本身的可用性没有被系统地研究过。事实上,CDN本身也面临DDoS攻击的威胁。
面向BGP的攻击:域间路由协议BGP是当今互联网得以正常运行的核心和基础之一,BGP是基于TCP的应用。我们在前面第6章的时候专题讨论了由于TCP拥塞控制机制本身固有的缺陷而引起的低速率拒绝服务LDoS攻击,也简单讨论了BGP的间接和直接缺陷。密歇根大学的Ying Zhang等人对该攻击手段进行了定性的研究,结果表明,在采用默认配置的情况下,由于控制平面流量与数据平面流量不分离,且缺乏良好的优先级保护机制,BGP会话缺乏对于LDoS攻击的防御力。该攻击能有效降低BGP线路的利用率,增加传输延迟,并让原本就缓慢的BGP路由表收敛过程变得更加缓慢,最严重的是,它甚至可能会引起BGP会话的中断。