什么是第 3 層 DDoS 攻擊？如何防護第 3 層 DDoS 攻擊？

更新于：2022-07-12 13:10:14

分布式拒絕服務 (DDoS) 攻擊試圖用大量數(shù)據(jù)淹沒其目標。DDoS 攻擊好比高速公路發(fā)生交通堵塞，妨礙常規(guī)車輛抵達目的地。

第 3 層 DDoS 攻擊以 OSI 模型中的第 3 層（L3）作為攻擊目標。與所有 DDoS 攻擊一樣，第 3 層攻擊的目的是使程序、服務、計算機或網(wǎng)絡的運行變慢或使其崩潰，或者填滿容量以使其他任何人都無法接收服務。L3 DDoS 攻擊通常通過針對網(wǎng)絡設備和基礎設施來實現(xiàn)。

第 3 層 DDoS 攻擊與較高層攻擊之間存在一些重要區(qū)別：

第 3 層攻擊針對的是網(wǎng)絡層，而不是傳輸層或應用程序?qū)拥倪M程（第 4 層和第 7 層 DDoS 攻擊的目標）
第 3 層攻擊不必首先與目標打開 TCP 連接
第 3 層攻擊不以特定端口為目標

什么是 OSI 模型？

OSI 模型是 Internet 工作原理的概念模型。OSI 模型的主要宗旨是幫助人們討論網(wǎng)絡設備和協(xié)議，確定哪些協(xié)議供哪些軟件和硬件使用，并且顯示 Internet 如何運行而與底層硬件無關。

OSI 模型將促進 Internet 運作的不同技術分為多個層面?？偣灿衅邔樱?/p>

OSI 模型中的第 3 層是什么？

OSI 第 3 層稱為網(wǎng)絡層。第 3 層包含了造就了互連網(wǎng)絡（即互聯(lián)網(wǎng)）的各種協(xié)議和技術。這一層是進行跨網(wǎng)絡路由的地方。遍歷網(wǎng)絡的數(shù)據(jù)劃分為數(shù)據(jù)包，然后對這些數(shù)據(jù)包尋址并發(fā)送到第 3 層的目的地。此過程中最重要的協(xié)議是互聯(lián)網(wǎng)協(xié)議 (IP)。

第 3 層的協(xié)議不會打開連接，確?？煽繑?shù)據(jù)傳遞或指示目標設備上的哪個服務應使用該數(shù)據(jù)；這些是第 4 層流程。第 4 層涉及使用傳輸協(xié)議，例如 TCP 和 UDP。在沒有第 4 層傳輸協(xié)議的前提下跨網(wǎng)絡發(fā)送數(shù)據(jù)包就像在不確保地址正確的情況下（在地址中包括應打開信件的特定人員的姓名，或使用信譽良好的郵政服務）將信件郵寄到某一地址。數(shù)據(jù)可能會到達，也可能不會。這就是為什么許多第 3 層協(xié)議始終與第 4 層傳輸協(xié)議結合使用，以確保數(shù)據(jù)到達正確的位置。

但是，仍然可以通過 IP 將數(shù)據(jù)包發(fā)送到網(wǎng)絡目標，而不使用傳輸協(xié)議。

由于第 3 層是無連接的，因此第 3 層 DDoS 攻擊無需通過 TCP 打開連接或指示端口分配。第 3 層 DDoS 攻擊的目標是計算機正在運行的網(wǎng)絡軟件，而不是特定的端口。

第 3 層使用什么協(xié)議？

下方列出了使用最廣泛的第 3 層協(xié)議，以及最有可能在 DDoS 攻擊中使用的協(xié)議：

IP：互聯(lián)網(wǎng)協(xié)議 (IP) 路由和尋址數(shù)據(jù)包，以便它們到達正確的目的地。每個連接到互聯(lián)網(wǎng)的設備都有一個 IP 地址，并且IP 協(xié)議將正確的 IP 地址附加到各個數(shù)據(jù)包上，就如在給人寫信時注明地址一樣。

IPsec：IPsec 實際上是由幾個協(xié)議組成的套件，而不是單一的協(xié)議。IPsec 是 IP 的加密版本，由?VPN?使用，類似于?HTTPS?和?HTTP?之間的區(qū)別。

ICMP：互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)?處理錯誤報告和測試。ICMP 是無連接協(xié)議，不使用 TCP 或 UDP 等傳輸協(xié)議。相反，ICMP 數(shù)據(jù)包僅通過 IP 發(fā)送。開發(fā)人員和網(wǎng)絡工程師將 ICMP 用于 ping 和 traceroute 功能。通常一次只需要發(fā)送一個 ICMP 數(shù)據(jù)包。

其他第 3 層協(xié)議包括：

IGMP：Internet 組消息協(xié)議管理 IP 多播組，使一個網(wǎng)絡中的多個設備可以接收相同的 IP 流量。
ARP：地址解析協(xié)議僅在單個網(wǎng)絡內(nèi)使用。計算機使用此協(xié)議將 IP 地址映射到網(wǎng)絡中的 MAC 地址（MAC 地址是硬連接到每個具有Internet 功能的設備中的唯一標識符，就如指紋一般）。

從理論上看，使用這些協(xié)議中的任何一種進行攻擊都是可能的。ICMP 通常用于向服務器發(fā)送過多無法響應的 ping 信號，或利用一個大型 ping 數(shù)據(jù)包使接收設備崩潰（這稱為“死亡之 Ping”）。攻擊者可以通過 IPsec 使用垃圾數(shù)據(jù)或過大的安全性證書來淹沒目標。

不過，并非所有這些協(xié)議都能真正用于 DDoS 攻擊，而且硬件更新也杜絕了某些攻擊類型的可能性。例如，ARP 僅在本地網(wǎng)絡內(nèi)運行，因此攻擊者首先需要連接到本地網(wǎng)絡，然后才能進行 DDoS 攻擊。而且，無法對現(xiàn)代硬件進行 ICMP 死亡之 Ping 攻擊，這些硬件會忽略太大的 IP 數(shù)據(jù)包。

L3 DDoS 攻擊如何工作？

與其他類型的 DDoS 攻擊一樣，攻擊者通過這些協(xié)議發(fā)送大量垃圾網(wǎng)絡流量。操作方法有多種，具體取決于協(xié)議。垃圾流量阻礙合法用戶的請求，從而減慢對其的響應或?qū)⑵渫耆柚埂Ｓ袝r，過多的垃圾數(shù)據(jù)使目標資源被淹沒，造成目標崩潰。

第 3 層 DDoS 攻擊有哪些著名類型？

盡管其他攻擊也有可能，包括僅通過 IP 的攻擊在內(nèi)，但基于 ICMP 的攻擊最為常見。著名的 ICMP 攻擊包括：

Ping 洪水：在?Ping 洪水 DDoS 攻擊中，攻擊者一次向服務器發(fā)送數(shù)千個甚至數(shù)百萬個 ping 請求。
Smurf 攻擊：ICMP 沒有適當?shù)陌踩Ｗo或驗證措施，這使攻擊者能夠在 ICMP 請求中偽造 IP 地址。在?Smurf DDoS 攻擊中，攻擊者向數(shù)千臺服務器發(fā)出 ping 請求，在 ping 請求中偽造目標的 IP地址，從而使響應發(fā)往目標，而不是攻擊者。大多數(shù)現(xiàn)代網(wǎng)絡硬件不再容易遭受這種攻擊。
死亡之 Ping：在 ICMP 死亡之 Ping 攻擊中，攻擊者向目標發(fā)送超過最大允許大小的 ping 請求。通向目標的路由器會將 ping 分段成較小的數(shù)據(jù)包，以便目標接受它們，但是當它嘗試從較小片段重新組合大數(shù)據(jù)包時，數(shù)據(jù)包大小將超過最大值，從而使目標崩潰。現(xiàn)代設備不容易遭受這種攻擊。

京東云星盾如何防御第 3 層 DDoS 攻擊？

除了阻止第 4 層和第 7 層的 DDoS 攻擊外，京東云星盾還可緩解第 3 層 DDoS 攻擊。京東云星盾?專門用于阻止對內(nèi)部網(wǎng)絡基礎設施的攻擊，包括任何層的 DDoS 攻擊。京東云星盾WAF 和 CDN 也通過僅接受 HTTP 和 HTTPS 端口的流量（這些僅在第 7 層上）來阻止第 3 層 DDoS 攻擊。