Azure DDoS 保護降低的攻擊類型
Azure DDoS 保護可降低下列攻擊類型的風險:
巨流量攻擊:這些攻擊會以大量看似合法的流量填滿網路層。 其中包括 UDP 洪水攻擊、放大洪水攻擊,以及其他偽造的封包洪水攻擊。 DDoS 保護層可降低這些潛在多 GB 攻擊的風險,方法是自動使用 Azure 的全球網路規模來快吸並清除這些攻擊。 下表列出常見的攻擊類型。
攻擊類型 說明 ICMP 洪水 使用ICMP Echo Request (ping) 封包來壓倒目標,造成中斷。 IP/ICMP 片段 惡意探索IP封包片段,讓目標不堪重負,並包含分散的封包。 IPsec 洪水 使用 IPsec 封包淹沒目標,壓倒處理功能。 UDP 洪水 將大量 UDP 封包傳送至隨機埠,導致資源耗盡。 反射放大攻擊 使用第三方伺服器將攻擊流量放大至目標。 通訊協定攻擊:這些攻擊透過利用第 3 層和第 4 層通訊協定堆疊中的弱點,讓目標無法供存取。 其中包括 SYN 洪水攻擊、反射攻擊,以及其他通訊協定攻擊。 DDoS 保護可透過與用戶端互動來區別惡意與合法流量,並封鎖惡意流量以降低這些攻擊的風險。 下表列出常見的攻擊類型。
攻擊類型 說明 SYN Flood 惡意探索 TCP 交握程式,讓目標不堪重負連線要求。 分散封包攻擊 將分散的封包傳送至目標,在重新組譯期間造成資源耗盡。 死亡 Ping 傳送格式不正確或超大的封包,以當機或破壞目標系統穩定。 Smurf 攻擊 利用網路裝置,使用ICMP回應要求以流量充斥目標。 資源 (應用程式) 層攻擊:這些攻擊會鎖定 Web 應用程式封包,以中斷主機之間的資料傳輸。 其中包括 HTTP 通訊協定違規攻擊、SQL 插入式攻擊、跨網站指令碼攻擊,以及其他第 7 層攻擊。 使用 Web 應用程式防火牆,例如 Azure 應用程式閘道 Web 應用程式防火牆和 DDoS 保護,以提供對這些攻擊的防禦。 Azure Marketplace 還提供了協力廠商 Web 應用程式防火牆供應項目。 下表列出常見的攻擊類型。
攻擊類型 說明 BGP 劫持 牽涉到藉由損毀因特網路由表來控制一組IP位址。 Slowloris 讓目標網頁伺服器的許多連線保持開啟,並盡可能保持開啟狀態。 慢速貼文 傳送不完整的 HTTP POST 標頭,導致伺服器等候其餘的數據。 讀取速度緩慢 從伺服器緩慢讀取回應,導致伺服器保持連線開啟。 HTTP(/s) 洪水 以 HTTP 要求淹沒目標,壓倒伺服器回應的能力。 低和慢速攻擊 使用一些連線來緩慢傳送或要求數據、逃避偵測。 大型承載POST 在 HTTP POST 要求中傳送大型承載,以耗盡伺服器資源。