3. DDoS攻击原理与分类:流量型攻击、协议攻击、应用层攻击、针对核心网的特定攻击

大家好,我是老周。在核心网安全这个行当摸爬滚打十几年,今天咱们来聊聊DDoS攻击的分类。说实话,很多人一听到DDoS就想到“把带宽打满”,其实远没那么简单。尤其是针对核心网的攻击,手法更刁钻,隐蔽性也更强。

我个人习惯把DDoS攻击分成四大类:流量型、协议型、应用层型,还有专门针对核心网的“特供型”。咱们一个一个拆开讲。

3.1 流量型攻击:最粗暴,也最直接

流量型攻击,说白了就是“用数量碾压你”。攻击者控制大量僵尸主机,同时向目标发送海量数据包,把带宽链路塞满。合法用户的请求根本挤不进来。

常见手法:

  • UDP Flood: 向目标随机端口发送大量UDP包。目标主机查无此端口,回复ICMP不可达,但回复本身也消耗资源。
  • ICMP Flood: 经典的Ping洪水。我记得早年有个案例,某省核心网被ICMP Flood打瘫,原因竟然是攻击者用了几台云主机做跳板。
  • 反射放大攻击: 利用NTP、DNS、Memcached等协议,伪造源IP为受害者,向开放服务器发送小请求,服务器返回大响应。放大倍数可达几十甚至上百倍。

避坑指南: 我曾经遇到过一个案例,客户说“我们带宽还有余量,怎么业务就卡死了?” 后来发现是攻击流量占满了核心路由器的NP(网络处理器)表项,导致正常路由查表失败。流量型攻击不只是堵带宽,还会堵硬件资源。

3.2 协议攻击:专打协议栈的软肋

这类攻击不追求大流量,而是利用协议设计上的缺陷,让目标系统在处理畸形或异常报文时耗尽CPU、内存。你想想看,一个精心构造的小包,可能比一万个普通包还致命。

典型代表:

  • SYN Flood: 发送大量SYN包,但不完成三次握手。目标维护半连接队列,队列满了就拒绝新连接。
  • ACK Flood: 发送大量ACK包,迫使目标查找不存在的连接状态,消耗CPU。
  • 碎片攻击: 发送畸形IP分片,重组时造成内存耗尽或系统崩溃。

个人经验: 我在做核心网信令面防护时,遇到过一种“慢速SYN Flood”。攻击者以极低速率发送SYN包,每个源IP只发一个,传统阈值检测根本抓不到。后来我改用“半连接存活时间+源IP信誉度”联合检测,才把问题解决。

3.3 应用层攻击:最隐蔽,最难防

应用层攻击模拟正常用户行为,流量特征和真实请求几乎一样。它不追求打满带宽,而是慢慢消耗应用服务器的处理能力。嗯,这里要注意,这类攻击对核心网的SBC(会话边界控制器)、MME(移动管理实体)等网元威胁极大。

常见类型:

  • HTTP Flood: 大量GET/POST请求,消耗Web服务器连接池和数据库连接。
  • Slowloris: 建立HTTP连接后,以极慢速度发送请求头,占用连接不释放。
  • DNS Query Flood: 针对核心网DNS服务器,发送大量随机域名的查询请求,导致缓存失效,递归查询耗尽CPU。

警告: 应用层攻击的检测难度在于“正常”与“异常”的边界模糊。我曾经处理过一个案例,攻击者用真实浏览器模拟用户点击,每个IP只发3-5个请求,持续数小时。传统清洗设备完全没告警,直到业务侧反馈“响应越来越慢”。

3.4 针对核心网的特定攻击:这才是真正的“杀手锏”

核心网不同于普通互联网应用,它承载着信令面、媒体面、用户面等多层协议。攻击者一旦摸清核心网架构,就能设计出“精准打击”的攻击方式。

核心网专属攻击手法:

攻击类型 目标网元 攻击原理 危害等级
SIP Register Flood SBC / I-CSCF 大量伪造注册请求,耗尽鉴权资源
Diameter DDoS HSS / PCRF 伪造信令消息,导致数据库连接池爆满 极高
GTP-U Flood PGW / SGW 伪造用户面隧道数据,打满GTP隧道表项
SS7 MAP Flood MSC / HLR 利用信令网漏洞,发送大量位置更新请求 极高

为什么这些攻击特别危险?因为核心网网元通常有严格的会话状态机。一个异常信令可能导致状态机卡死,进而影响全网用户。我见过最严重的一次,某个省份的MME被GTP-C Flood攻击,导致全省4G用户无法附着,持续了将近40分钟。

核心观点: 核心网DDoS防护不能照搬互联网方案。互联网可以丢包、可以限速,但核心网必须保证信令的完整性和实时性。我个人建议,在核心网入口部署专用的信令面清洗设备,同时配合会话状态检测,才能有效防御这些“特供型”攻击。

3.5 知识体系总览

下面这张图是我自己整理的DDoS攻击分类框架,方便大家建立整体认知:

DDoS攻击分类知识体系 流量型攻击 协议攻击 应用层攻击 核心网特定攻击 UDP Flood ICMP Flood 反射放大攻击 SYN Flood ACK Flood 碎片攻击 HTTP Flood Slowloris DNS Query Flood SIP Register Flood Diameter DDoS GTP-U Flood SS7 MAP Flood 核心网DDoS防护要点 1. 信令面与用户面分离防护 2. 会话状态机完整性检测 3. 源IP信誉度 + 行为基线联合分析

这张图把四大类攻击及其子类型都串起来了。你可以看到,核心网特定攻击位于最右侧,它和前三类有交叉,但又有自己独特的攻击向量。我个人建议,做核心网安全防护时,优先关注右侧这一列——因为一旦被攻破,影响的是全网用户。

一个小技巧: 在实际溯源时,不要只看攻击流量本身。我习惯先看“攻击目标是什么网元”,再看“攻击用了什么协议”,最后反推“攻击者可能掌握了哪些信息”。比如,如果攻击目标是HSS且用了Diameter消息,那攻击者大概率对核心网信令面有深入了解——这往往意味着内部威胁或APT攻击。


公众号:蓝海资料掘金营,微信deep3321