web-dev-qa-db-ja.com

最も減少したタイプのDoS攻撃

私が理解しているように、OSIモデルに関して一般にサービス拒否攻撃の一般的なタイプは2つだけです。

  • レイヤー上のNetwork-Layer-DoS(NLDoS)、2または1。

  • レイヤー上のApplication-Layer-DoS(ALDoS)7、6、または5。

レイヤー4はどうですか?このレイヤーで利用できる一般的に一般的なサービス拒否攻撃はありますか?また、私の削減の試みは正確ですか?

ddosdenial-of-service
7
user123574

レイヤー4についてはどうですか?私の削減試行は正確ですか?

削減の試みは、レベル3、2、および1をグループ化し、グループ7、6、および5をグループ化するようです。サービス拒否攻撃はOSIモデルのすべてのレベルで存在する可能性があるため、これは完全に正確ではありません。

さらに、OSIモデルと現実の世界との間には複雑さが伴います。他の回答とコメントは正解です。7層OSIモデルは、ネットワークベースの攻撃(DOSなど)を記述するために最も一般的に使用されるモデルではありません。より一般的に使用されるモデルは、「TCP/IP」インターネットスタックモデルです。これらのモデル間の主なセマンティクスの違いは、OSIモデルがレイヤー5、6、7を使用することですが、TCP/IPモデルでは、TCPの上にあるものはすべてレイヤー5(アプリケーションレイヤー)と呼ばれます) 。これの1つの理由は、OSIモデルはプロトコルに依存しないが、実際にはTCP/IPが王であるということです。TCP/ IPでは、TCPおよびIPは、 OSIモデル、それぞれTCPはすべてレイヤー5(アプリケーションレイヤー)と呼ばれます。

レイヤー4について:レイヤー4で発生する可能性のあるさまざまな攻撃があります。現実の世界では、これはほとんどの場合、TCPまたはUDP(2つの主要なトランスポート層プロトコル。他の回答とコメントにあるように、TCPによる1つの主要な攻撃は、TCP SYN Flood攻撃です。これには、大量の送信が含まれます。攻撃されたマシンで接続を開くためのSYNパケットの数。ただし、接続を完了または終了しないため、攻撃されたマシンはリソースと時間を消費し、最終的にはタイムアウトする必要があります。以下に、レイヤー4 DOS(またはDDOS)攻撃をいくつか挙げます。

  • TCP SYNフラッド攻撃(上記およびその他の回答で説明)
  • TCP SYN-ACK攻撃(ゾンビマシンへの偽装アドレスを含むSYNの送信、攻撃対象へのゾンビSYN-ACKの送信)
  • UDPフラッドアタック(大量のUDPパケットを送信)

ICMPに関しては、これは「ping」とも呼ばれ、ネットワーク接続を理解するために使用されます。このため、ICMPがIPの「上にある」としても、ICMPフラッド攻撃をレイヤー4攻撃よりもレイヤー3攻撃と呼ぶ方が適切です。

インターネットスタックの各層でのDOS攻撃のいくつかの追加例を次に示します。

  • レイヤー5(アプリケーションレイヤー):アプリケーションレイヤープロトコルの例は、HTTP、FTP、DNSなどです。DNSフラッド攻撃は、攻撃者がすべてのDNSサーバーのリソースを使い果たし、それにより他の正当なサービスを拒否しようとするDOS攻撃の例です。ユーザー。
  • レイヤー4(トランスポートレイヤー):(上記を参照)
  • レイヤー3(ネットワークレイヤー):ICMPフラッド(上記のICMPの説明を参照)。別の例として、IPハイジャックについて考えてみましょう。
  • レイヤ2:レイヤ2スイッチのCAMテーブルオーバーフロー。
  • レイヤ1:イーサネットケーブルを切断します。または、別の例として、携帯電話の妨害(物理的な(エア)チャネルをRFノイズで爆破する)。
4
hft

レイヤー4 (トランスポート)DoS攻撃はしばしばSYNフラッドと呼ばれます。

OSIモデルのレイヤー5、6、7は、TCP/IP内のアプリケーションレイヤーと呼ばれます。 「レイヤー7のアプリケーションレイヤーDoS(ALDoS)」とおっしゃっていました。ただし、アプリケーション層のフラッドは、XDoSと呼ばれる可能性があります。残念ながら、DDoSクイックガイド に加えて、National Cyber​​security and Communications Integration Center、2014年1月29日OSIについてはあまり見つけることができませんでしたDoSのモデル。代わりに、ほとんどのドキュメントはDoSのTCP/IPモデルについて述べています。

DDoSクイックガイド からOSIモデルのこれらの例を特定することができました。

  • レイヤー5(セッション)-Telnet DDoS攻撃
  • レイヤー6(プレゼンテーション)-不正なSSLリクエスト
  • レイヤー7(アプリケーション):
    • PDF GETリクエスト
    • HTTP GET
    • HTTP POST
6
safesploit

OSIレイヤーとサンプルのDoS攻撃は次のとおりです:

レイヤー7(アプリケーションレイヤー)-HTTP GETまたはPOSTベースの攻撃

レイヤー6(プレゼンテーションレイヤー)-不正なSSLリクエスト攻撃

レイヤー5(セッションレイヤー)-Telnet/SSHセッション攻撃

レイヤー4(トランスポートレイヤー)-SYNフラッド攻撃/ SMURF攻撃

レイヤー3(ネットワークレイヤー)-ICMPフラッド攻撃

レイヤー2(データリンクレイヤー)-MACフラッディング攻撃

レイヤー1(物理レイヤー)-物理破壊

6
Kay

ISO/OSIネットワークモデルを使用してDDoS攻撃を分類するには、基本的に2つの異なるアプローチがあります。

1)それらのうちの最初のものは主に 研究論文 で人気があります:あたかも正当なトラフィックであるかのように、犠牲者が受信しているパケットのペイロードを解析しようとします。依然として認識可能な最上位の(OSIモデルの観点から)プロトコルは、攻撃のlayernessを定義します。

たとえば、ギガビットリンクで動作していて、毎秒3ギガビットのUDPフラッドを受信して​​いるため、他の地域ではインターネットに直接接続するサービスにアクセスできない状態になり、輻輳が激しくなっています。このアプローチでは、攻撃パケット内の送信元または宛先UDPポートが 5 に等しく、それらのパケットの内容がDNSクエリに似ている場合、それは「DNSフラッド」であると言えます。ドメインネームシステムはOSIレイヤー7に属しているため、これはレイヤー7 DDoS攻撃です。

ただし、UDPポートの値が突然0などに変更された場合、攻撃の最終的な影響は同じですが、すぐにレイヤー4 DDoS攻撃(「UDPフラッド」)になります。

このアプローチでは、パケットの IPv4 Protocol/IPv6 Next Header フィールドに適切な値が含まれているが、それ以上のフィンガープリントが許可されていない事実上すべての攻撃は、レイヤー4攻撃になります。

2)他のアプローチは、主にDDoS緩和ベンダーによって使用されます[1][2][3]、 以下のとおりであります。 DDoS攻撃の目的は、ネットワークリソースをダウンさせることです。ネットワークリソースがサービスを提供しないのは、それが依存するネットワークレイヤーの少なくとも1つが正しく機能しない場合だけです。攻撃は、影響を受ける最下層に「属します」。

このように、上記の例では、ネットワークのアーキテクチャに応じて、DNSフラッドとUDPフラッドの両方がOSIレイヤー2またはレイヤー3でマークされます(例: arp packet-priority enable はスイッチなどで構成されます)、レイヤー4の実装に直接影響する攻撃(TCPドライバとカーネルモジュール)など)は、レイヤー4の攻撃になります。例は次のとおりです。

等々。

2
ximaera