Angriffstypen, die mit Azure DDoS Protection abgewehrt werden
Die folgenden Angriffstypen können mit Azure DDoS Protection abgewehrt werden:
Volumetrische Angriffe: Diese Angriffe überfluten die Netzwerkebene mit einer beträchtlichen Menge scheinbar berechtigten Datenverkehrs. Dazu zählen UDP-Überflutungen, Verstärkungsüberflutungen und andere Überflutungen mit gefälschten Paketen. DDoS Protection wehrt diese bis zu mehreren Gigabytes großen Angriffe ab, indem sie mithilfe des weltweiten Netzwerks von Azure automatisch absorbiert und bereinigt werden. In der folgenden Tabelle sind allgemeine Angriffstypen aufgeführt.
Angriffstyp Beschreibung ICMP-Flooding Überfordert das Ziel mit ICMP-Echoanforderungspaketen (Ping), die zu Unterbrechungen führen IP/ICMP-Fragmentierung Nutzt die IP-Paketfragmentierung aus, um das Ziel mit fragmentierten Paketen zu überlasten IPsec-Flooding Überflutet das Ziel mit IPsec-Paketen, um die Verarbeitungsfunktion zu überlasten UDP-Flooding Sendet eine große Anzahl von UDP-Paketen an zufällige Ports, um eine Ressourcenauslastung zu verursachen Reflection/Amplification-Angriff Verwendet einen Drittanbieterserver zur Verstärkung des Angriffsdatenverkehrs zum Ziel Protokollangriffe: Diese Angriffe machen den Zugriff auf ein Ziel unmöglich, indem sie eine Schwachstelle in den Schichten 3 und 4 des Protokollstapels ausnutzen. Dazu gehören SYN-Flutangriffe, Reflexionsangriffe und andere Protokollangriffe. DDoS Protection wehrt diese Angriffe ab und unterscheidet dabei zwischen schädlichem und berechtigtem Datenverkehr. Nach Interaktion mit dem Client wird der schädliche Datenverkehr gesperrt. In der folgenden Tabelle sind allgemeine Angriffstypen aufgeführt.
Angriffstyp Beschreibung SYN-Flood Nutzt den Prozess für den TCP-Handshake aus, um das Ziel mit Verbindungsanforderungen zu überlasten Angriff mit fragmentierten Paketen Sendet fragmentierte Pakete an das Ziel, deren Wiederherstellung eine Ressourcenauslastung verursacht Ping of Death Sendet falsch formatierte oder zu große Pakete, um das Zielsystem zum Absturz zu bringen oder zu destabilisieren Smurf-Angriff Verwendet ICMP-Echoanforderungen, um das Ziel unter Ausnutzung von Netzwerkgeräten mit Datenverkehr zu überfluten Angriffe in der Ressourcenschicht (Anwendungsschicht) : Das Ziel dieser Art von Angriffen sind Webanwendungspakete, um die Datenübertragung zwischen Hosts zu unterbrechen. Dazu zählen Verletzungen des HTTP-Protokolls, die Einschleusung von SQL-Befehlen, XSS-Angriffe (Cross-Site Scripting) und andere Angriffe auf Ebene 7. Verwenden Sie eine Web Application Firewall wie die Web Application Firewall von Azure Application Gateway in Kombination mit DDoS Protection zum Schutz vor diesen Angriffen. Im Azure Marketplace finden Sie auch Webanwendungsfirewall-Angebote von Drittanbietern. In der folgenden Tabelle sind allgemeine Angriffstypen aufgeführt.
Angriffstyp Beschreibung BGP-Hijacking Übernimmt durch die Manipulation von Internetroutingtabellen die Kontrolle über eine Gruppe von IP-Adressen Slowloris Stellt viele Verbindungen mit dem Zielwebserver her und hält sie so lange wie möglich geöffnet Slow POST Sendet unvollständige HTTP POST-Header, die dazu führen, dass der Server auf die fehlenden Daten wartet Slow READ Liest Antworten vom Server langsam und bewirkt damit, dass der Server die Verbindung geöffnet hält HTTP(S)-Flooding Überflutet das Ziel mit HTTP-Anforderungen, bis der Server nicht mehr antworten kann Wenige und langsame Angriffe Verwendet einige wenige Verbindungen, um Daten langsam zu senden oder anzufordern, um der Erkennung zu entgehen POST mit vielen Nutzdaten Sendet große Mengen an Nutzdaten in HTTP POST-Anforderungen, um die Ressourcen des Servers auszulasten