私は最近、さまざまなタイプのDDoS攻撃について読んでいて、2017年のタイプ別のDDoS分布をKaspersky Labsが見つけました。彼らは5つの異なるDDoSタイプをリストしています:SYN、TCP、UDP、HTTP、ICMP
これまでに出会った他のすべてのリソースでは、SYN DDoS攻撃とTCP DDoS攻撃が完全な同義語として使用されていますが、Kaspersky Labsは両者を区別しているようです。特にTCP DDoS攻撃を検索すると、SYN DDoSに関する情報のみが表示されます。
私の質問は次のように言い換えることができると思います:TCP DDoS攻撃は常にSYN攻撃でもありますか?または、DDoSの目的でTCPを使用する他の方法はありますか?
他にもいくつかのTCPベースのDDoS攻撃がありますが、TCPは設計上、( )DDoS攻撃。アプリケーション層攻撃(CPU、データベース、ディスクなどを使い果たす)は、多くの場合、TCPに基づいて(たとえば、Webサーバーへの大量のHTTPリクエストを生成することによって))行われ、 TCPプロトコルを悪用しようとするいくつかの既知の攻撃。たとえば、TCPフラグの不正な組み合わせまたは不正な断片化を送信することによって。「ティアドロップ攻撃」は、それらの既知の例は、パケットを再構成するときにパケットを受信するデバイスをクラッシュさせるために重複フラグメントを使用しました。
しかし、すでに述べたように、TCPはDDoS攻撃ではあまり一般的ではありません。TCPは、任意のコマンドを送信できます。DDoSを実行するノードからの追加のリソースが必要です。
また、TCP攻撃は偽装されたIPアドレスでは実行できません。SYNACKがに送信されるため、TCPセッションは確立された状態に到達しないためです。スプーフィングされたアドレス:多くの単純な攻撃は、小さなリクエスト(DNS、NTP、SNMP、LDAP)で大きな応答を送信するプロトコルと組み合わされたIPスプーフィングに依存して、大量のトラフィックを生成します。
TCP=の3番目の欠点は、両端がフロー制御を行うことができるため、受信側が追いつけないときに送信側をスロットルすることです。これは、DDoSを実行するときに望まれることではありません。
そのため、UDP攻撃は、数十ギガビット/秒のトラフィックを生成するすべての攻撃ではるかに一般的です。
この記事では、「TCP DDoS攻撃」について言及していますが、要約でも次のように述べています(強調は私のものです)。
TCPを介した攻撃(26.6%から18.2%に減少)とICPM(8.2%から7.3%に減少)のシェアが大幅に低下しました。これにより、UDPおよびHTTPを介したSYNフラッドおよび攻撃の割合が増加しました。
L4へのDDoS攻撃(TCP SYNフラッド)は、TCPを使用した攻撃の一種ですが、アプリケーション層(L7)が関与する攻撃もあります。著者はHTTPを特別なケースとして挙げていますが、SSHやメールサービスをサーバー側でより多くの処理を必要とする(小さな)リクエストでフラッディングすることもできます。これらは、TCPで実行されるサービスです。