本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 基礎架構層攻擊
<a name="infrastructure-layer-attacks"></a>

 最常見的DDoS攻擊，用戶數據報協議（UDP）反射攻擊和SYN洪水，是*基礎設施層*攻擊。攻擊者可利用其中一種方法產生大量流量，這些流量可能會淹沒網路容量，或結合伺服器、防火牆、入侵防護系統 (IPS) 或負載平衡器等系統上的資源。雖然這些攻擊很容易識別，但為了有效地緩解這些攻擊，您必須擁有一個或多個網絡系統，比入站流量洪水更快地擴展容量。這種額外的容量對於過濾掉或吸收釋放系統和應用程序以響應合法客戶流量的攻擊流量是必需的。

# UDP反射攻擊
<a name="udp-reflection-attacks"></a>

 UDP反射攻擊利用無狀態協議的事實。UDP攻擊者可以製作一個有效的UDP請求數據包，列出攻擊目標的 IP 地址作為UDP源 IP 地址。攻擊者現在偽造了要求封包的來源 IP (多工緩衝UDP處理)。UDP封包包含偽造的來源 IP，並由攻擊者傳送至中繼伺服器。伺服器遭誘騙，將其回UDP應封包傳送至目標受害者 IP，而非傳回攻擊者的 IP 位址。使用中繼伺服器的原因是因為它會產生比要求封包大數倍的回應，有效地放大傳送至目標 IP 位址的攻擊流量。

 放大因子是回應大小與要求大小的比率，而且視攻擊者使用的通訊協定而有所不同：DNS、網路時間通訊協定 (NTP)、簡易服務目錄通訊協定 (SSDP)、無連線輕量型目錄存取通訊協定 (CLDAP)、[Memcached](https://memcached.org/)、字元產生器通訊協定 (CharGen) 或每日報價 ()。QOTD

 例如，的放大係數DNS可以是原始位元組數的 28 到 54 倍。因此，如果攻擊者向DNS服務器發送 64 字節的請求有效負載，則可以向攻擊目標生成超過 3400 字節的不需要流量。UDP與其他攻擊相比，反射攻擊對更大的流量負責。下圖說明了反射策略和放大效果。

![\[描繪UDP反射攻擊的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)


 應該注意的是，反射攻擊雖然它們為攻擊者提供「免費」放大，但它們需要 IP 欺騙能力，並且隨著越來越多的網絡提供商採用源代碼地址驗證到處（SAVE）[BCP38](https://www.ietf.org/rfc/bcp/bcp38.html)，或者刪除了該功能，要求DDoS服務提供商停止反射攻擊或重新定位到數據中心和網絡提供商沒有實施源地址驗證。

# SYN洪水襲擊
<a name="syn-flood-attacks"></a>

 當使用者連線到傳輸控制通訊協定 (TCP) 服務 (例如 Web 伺服器) 時，其用戶端會傳送SYN封包。伺服器會傳回同步處理確認 (SYN-ACK) 封包，最後用戶端會回應一個通知 (ACK) 封包，完成預期的三向交換。下圖說明了這種典型的握手。

![\[描繪SYN三向握手的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)


 在SYN洪水攻擊中，惡意客戶端發送大量數SYN據包，但永遠不會發送最終數ACK據包來完成握手。伺服器會等待對半開啟TCP連線的回應，而這個想法是目標最終會耗盡容量以接受新的TCP連線，從而阻止新使用者連線到伺服器，但實際影響會更加細微。現代操作系統默認情況下都實現了 SYN cookie 作為一種機制來對抗SYN洪水攻擊的狀態表耗盡。一旦SYN佇列長度達到預先決定的臨界值，伺服器就會以ACK包含特製的初始序號的 SYN-回應，而不會在其SYN佇列中建立項目。如果服務器接著收到一個ACK包含正確遞增的確認號碼，則可以將該條目添加到其狀態表中並正常進行。SYN洪水對目標設備的實際影響往往是網絡容量和CPU耗盡，但是防火牆（或EC2安全組[連接跟踪）之類的中間可設置設備可能會遭受TCP狀態表耗盡並丟棄新的連接](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)。

# TCP中間盒反射
<a name="tcp-middlebox-reflection"></a>

 2021 年 8 月，這種相對較新的攻擊媒介首次在[學術白皮書](https://www.usenix.org/system/files/sec21fall-bock.pdf)中披露，該白皮書解釋了國家防火牆和商業可用防火牆的TCP不合規性如何導致這些被欺騙成為放大載體。TCP自 2022 年初以來，我們已經「在野外」看到了這些攻擊，並今天繼續看到它們。由於供應商實施此「功能」的方式不同，放大係數會有所不同，但可能超過 Memcached UDP 放大。