OSI又叫网络七层协议,一共有7层结构,每层都可以有几个子层。 OSI的7层从上到下分别是:7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 ;其中高层(即7、6、5、4层)定义了应用程序的功能,下面3层(即3、2、1层)主要面向通过网络的端到端的数据流。DDoS攻击按其攻击的OSI层进行分类,虽然共有七层,但在DDoS攻击期间只有三层是目标:第3层,第4层和第7层。
1、第3层攻击
在OSI模型中,第3层是网络层。第3层攻击的重点是使目标站点的带宽饱和,以使站点无法使用。攻击的大小以每秒位数(Bps)为单位。包括:
UDP泛洪攻击:UDP泛洪会占用主机资源,导致站点无法访问。
ICMP泛滥:也称为“ping泛洪”。持续和传出的带宽受到该类型攻击影响,导致系统整体放缓。
2、第4层攻击
OSI模型的第4层与传输协议有关。第4层攻击的目标是占用服务器资源,或防火墙和负载平衡器的资源。它以每秒数据包为单位进行测量。包括:
SYN flood:恶意占用资源,拒绝合法用户的服务。
死亡Ping:溢出内存缓冲区,从而导致崩溃、重启和拒绝合法用户的服务。
反射攻击:最具灾难性的攻击类型之一,攻击可能涉及数千台计算机,所有计算机都将数据ping回单个目标,导致大规模减速和服务拒绝。
3、第7层攻击
第7层是应用层和最靠近用户的层。这些攻击更复杂,因为它们模仿人类行为与用户界面交互。它们通过使用似乎合法的崩溃Web服务器的请求来针对OpenBSD、Windows、Apache和其他软件的漏洞。应用层攻击的大小以每秒请求数来衡量。包括:
Slowloris:使所有连接保持开启状态,这会使最大并发连接池超载,从而导致拒绝服务。
HTTP泛滥:利用貌似合法的HTTP GET或POST请求来攻击服务器或应用程序。这种攻击需要的带宽较少。
我们无法完全避免DDoS攻击,但可以通过一些防护手段来缓解DDOS攻击给企业造成的损害,最常见的防御技术有两大类:硬防和流量清洗。一个是直接抗住攻击,一个是通过对攻击流量进行过滤清洗,隐藏源IP。企业可以根据自身的实际情况和需求来选择适合自己的防御措施。