Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Serangan lapisan infrastruktur
DDoSSerangan yang paling umum, User Datagram Protocol (UDP) serangan refleksi dan SYN banjir, adalah serangan *lapisan infrastruktur*. Seorang penyerang dapat menggunakan salah satu dari metode ini untuk menghasilkan volume besar lalu lintas yang dapat membanjiri kapasitas jaringan atau mengikat sumber daya pada sistem seperti server, firewall, sistem pencegahan intrusi ()IPS, atau penyeimbang beban. Meskipun serangan ini mudah diidentifikasi, untuk menguranginya secara efektif, Anda harus memiliki jaringan atau sistem yang meningkatkan kapasitas lebih cepat daripada banjir lalu lintas masuk. Kapasitas ekstra ini diperlukan untuk menyaring atau menyerap lalu lintas serangan yang membebaskan sistem dan aplikasi untuk menanggapi lalu lintas pelanggan yang sah.
# UDPserangan refleksi
UDPserangan refleksi mengeksploitasi fakta bahwa UDP adalah protokol tanpa kewarganegaraan. Penyerang dapat membuat paket UDP permintaan yang valid yang mencantumkan alamat IP target serangan sebagai alamat IP UDP sumber. Penyerang sekarang telah memalsukan — menipu — IP sumber paket permintaanUDP. UDPPaket berisi IP sumber palsu dan dikirim oleh penyerang ke server perantara. Server ditipu untuk mengirimkan paket UDP responsnya ke IP korban yang ditargetkan daripada kembali ke alamat IP penyerang. Server perantara digunakan karena menghasilkan respons yang beberapa kali lebih besar dari paket permintaan, secara efektif memperkuat jumlah lalu lintas serangan yang dikirim ke alamat IP target.
Faktor amplifikasi adalah rasio ukuran respons terhadap ukuran permintaan, dan bervariasi tergantung pada protokol mana yang digunakan penyerang:, Protokol Waktu Jaringan ()DNS, Protokol Direktori Layanan Sederhana (NTP), Protokol Akses Direktori Ringan Tanpa Koneksi (SSDP), [Memcached](https://memcached.org/), Protokol Generator Karakter (CLDAP), atau Quote of the Day (CharGen). QOTD
Misalnya, faktor amplifikasi untuk DNS bisa 28 hingga 54 kali jumlah byte asli. Jadi, jika penyerang mengirimkan payload permintaan 64 byte ke DNS server, mereka dapat menghasilkan lebih dari 3400 byte lalu lintas yang tidak diinginkan ke target serangan. UDPSerangan refleksi bertanggung jawab atas volume lalu lintas yang lebih besar dibandingkan dengan serangan lainnya. Gambar berikut menggambarkan taktik refleksi dan efek amplifikasi.
![\[Diagram yang menggambarkan serangan UDP refleksi\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)
Perlu dicatat bahwa serangan refleksi, sementara mereka memberikan penyerang dengan amplifikasi “gratis”, memerlukan kemampuan spoofing IP dan karena semakin banyak penyedia jaringan mengadopsi Validasi Alamat Sumber Di Mana Saja (SAVE) atau [BCP38](https://www.ietf.org/rfc/bcp/bcp38.html), kemampuan ini dihapus, mengharuskan penyedia DDoS layanan menghentikan serangan refleksi atau untuk pindah ke pusat data dan penyedia jaringan yang tidak menerapkan validasi alamat sumber.
# SYNserangan banjir
Ketika pengguna terhubung ke layanan Transmission Control Protocol (TCP), seperti server web, klien mereka mengirim SYN paket. Server mengembalikan paket sinkronisasi-pengakuan (SYN-ACK), dan akhirnya klien merespons dengan paket pengakuan (ACK), yang melengkapi jabat tangan tiga arah yang diharapkan. Gambar berikut menggambarkan jabat tangan khas ini.
![\[Diagram yang menggambarkan jabat tangan SYN tiga arah\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)
Dalam serangan SYN banjir, klien jahat mengirim sejumlah besar SYN paket, tetapi tidak pernah mengirim ACK paket akhir untuk menyelesaikan jabat tangan. Server dibiarkan menunggu respons terhadap TCP koneksi setengah terbuka dan idenya adalah bahwa target akhirnya kehabisan kapasitas untuk menerima TCP koneksi baru yang mencegah pengguna baru terhubung ke server, namun dampak sebenarnya lebih bernuansa. Sistem operasi modern semuanya menerapkan SYN cookie secara default sebagai mekanisme untuk melawan kelelahan tabel status dari serangan SYN banjir. Setelah panjang SYN antrian mencapai ambang batas yang telah ditentukan sebelumnya, server merespons dengan SYN - ACK berisi nomor urut awal yang dibuat, tanpa membuat entri dalam antreannya. SYN Jika server kemudian menerima nomor pengakuan ACK yang ditambahkan dengan benar, server dapat menambahkan entri ke tabel statusnya dan melanjutkan seperti biasa. Dampak sebenarnya dari SYN banjir pada perangkat target cenderung kapasitas jaringan dan CPU kelelahan, namun perangkat stateful menengah seperti firewall (atau [pelacakan koneksi grup EC2 keamanan) dapat mengalami kelelahan tabel TCP status dan menjatuhkan koneksi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) baru.
# TCPrefleksi middlebox
Vektor serangan yang relatif baru ini pertama kali diungkapkan dalam [whitepaper akademis](https://www.usenix.org/system/files/sec21fall-bock.pdf) pada Agustus 2021 yang menjelaskan bagaimana TCP ketidakpatuhan di firewall negara-bangsa dan yang tersedia secara komersial dapat mengakibatkan ini ditipu menjadi vektor amplifikasi. TCP Kami telah melihat serangan ini “di alam liar” sejak awal 2022 dan terus melihatnya hari ini. Faktor amplifikasi bervariasi karena cara yang berbeda di mana vendor telah menerapkan “fitur” ini, tetapi dapat melebihi amplifikasi Memcached. UDP