การโจมตีแบบปฏิเสธการให้บริการ

ในด้านคอมพิวเตอร์การโจมตีแบบปฏิเสธการให้บริการ ( DoS attack / d ɒ s / doss ^{[ 1 ]} ) เป็นการโจมตีทางไซเบอร์ที่ผู้กระทำความผิดพยายามทำให้เครื่องหรือทรัพยากรเครือข่ายไม่สามารถใช้งานได้สำหรับผู้ใช้ ที่ตั้งใจไว้ โดยการขัดขวางการให้บริการของโฮสต์ที่เชื่อมต่อกับเครือข่าย เป็นการชั่วคราวหรือถาวร การโจมตีแบบ ปฏิเสธการให้บริการมักจะสำเร็จได้โดยการส่งคำขอจำนวนมากไปยังเครื่องหรือทรัพยากรเป้าหมายเพื่อพยายามทำให้ระบบทำงานหนักเกินไปและป้องกันไม่ให้คำขอที่ถูกต้องบางส่วนหรือทั้งหมดได้รับการตอบสนอง^{[ 2 ]}ขอบเขตของการโจมตีมีความหลากหลายอย่างมาก ตั้งแต่การส่งคำขอหลายล้านรายการไปยังเซิร์ฟเวอร์เพื่อทำให้ประสิทธิภาพการทำงานช้าลง การส่งข้อมูลที่ไม่ถูกต้องจำนวนมากไปยังเซิร์ฟเวอร์ ไปจนถึงการส่งคำขอด้วยที่อยู่ IP ที่ไม่ถูก ต้อง^{[ 3 ]}

ในการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย ( DDoS attack / ˈ d iː . d ɒ s / DEE -doss ^{[ 4 ]} ) การจราจรขาเข้าที่ท่วมท้นเหยื่อมาจากแหล่งที่มาที่แตกต่างกันมากมาย จำเป็นต้องใช้กลยุทธ์ที่ซับซ้อนมากขึ้นเพื่อลดผลกระทบของการโจมตีประเภทนี้ การพยายามบล็อกแหล่งที่มาเพียงแหล่งเดียวนั้นไม่เพียงพอ^{[ 5 ]}^{[ 6 ]} การโจมตีแบบ DDoS เปรียบได้กับกลุ่มคนจำนวนมากที่ยืนขวางประตูทางเข้าของร้านค้า ทำให้ลูกค้าที่ถูกต้องตามกฎหมายเข้าได้ยาก ส่งผลให้การค้าหยุดชะงักและธุรกิจสูญเสียรายได้ ผู้กระทำความผิดทางอาญาในการโจมตีแบบ DDoS มักจะกำหนดเป้าหมายไปยังเว็บไซต์หรือบริการที่โฮสต์บนเว็บเซิร์ฟเวอร์ ที่มีชื่อเสียง เช่นธนาคารหรือเกตเวย์การชำระเงิน ด้วยบัตรเครดิต การแก้แค้นและการแบล็กเมล์ [ ⁷^]^[⁸^]^[⁹^]รวมถึงการเคลื่อนไหวทางไซเบอร์ [ ¹⁰^]^{สามารถ}กระตุ้นให้เกิดการโจมตีเหล่านี้ ^ได้

ประวัติศาสตร์

Panix ซึ่ง เป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่เก่าแก่ที่สุดเป็นอันดับสามของโลก ตกเป็นเป้าหมายของการโจมตี DoS ครั้งแรก เมื่อวันที่ 6 กันยายน พ.ศ. 2539 Panix ถูกโจมตีด้วยSYN floodซึ่งทำให้บริการของบริษัทล่มไปหลายวันในขณะที่ผู้ผลิตฮาร์ดแวร์ โดยเฉพาะCiscoกำลังคิดค้นวิธีการป้องกันที่เหมาะสม^{[ 11 ]}การเผยแพร่โค้ดตัวอย่างในช่วงเหตุการณ์ดังกล่าว นำไปสู่การโจมตีทางออนไลน์ของSprint , EarthLink , E-Tradeและบริษัทขนาดใหญ่อื่นๆ ในปีต่อมา^{[ 12 ]}

ในเดือนกุมภาพันธ์ 2020 บริการ Amazon Web Servicesประสบกับการโจมตีที่มีปริมาณการใช้งานสูงสุดถึง...2.3 Tb/s [ ^{13 ] ใน}เดือนกรกฎาคม 2021 Cloudflare อ้างว่าได้ปกป้องลูกค้าของตนจากการโจมตี DDoS จากบอทเน็ต Mirai ทั่วโลก ซึ่งมีการร้องขอสูงถึง 17.2 ล้านครั้งต่อวินาที^{[ 14 ]} Yandexผู้ให้บริการป้องกัน DDoS ของรัสเซียกล่าวว่าได้บล็อกการโจมตี DDoS แบบ HTTP pipelining เมื่อวันที่ 5 กันยายน 2021 ซึ่งมีต้นกำเนิดมาจากอุปกรณ์เครือข่ายMikrotik ที่ไม่ได้อัปเดตแพทช์ ^{[ 15 ]}ในช่วงครึ่งแรกของปี 2022 การรุกรานยูเครนของรัสเซียได้เปลี่ยนแปลงภูมิทัศน์ของภัยคุกคามทางไซเบอร์อย่างมาก โดยมีการโจมตีทางไซเบอร์เพิ่มขึ้นซึ่งเกิดจากทั้งผู้กระทำการที่ได้รับการสนับสนุนจากรัฐและกิจกรรมของกลุ่มแฮ็กเกอร์ทั่วโลก เหตุการณ์ที่โดดเด่นที่สุดคือการโจมตี DDoS ในเดือนกุมภาพันธ์ ซึ่งเป็นการโจมตีครั้งใหญ่ที่สุดที่ยูเครนเคยประสบมา ทำให้บริการของภาครัฐและภาคการเงินหยุดชะงัก คลื่นแห่งการรุกรานทางไซเบอร์นี้ขยายไปยังพันธมิตรตะวันตก เช่น สหราชอาณาจักร สหรัฐอเมริกา และเยอรมนี โดยเฉพาะอย่างยิ่ง ภาคการเงินของสหราชอาณาจักรพบว่ามีการโจมตี DDoS เพิ่มขึ้นจาก กลุ่มผู้ก่อการร้ายและนักเคลื่อนไหว ทางการเมืองซึ่งมุ่งเป้าไปที่การบ่อนทำลายพันธมิตรของยูเครน^{[ 16 ]}

ในเดือนกุมภาพันธ์ 2023 Cloudflareเผชิญกับการโจมตีที่มีการร้องขอ 71 ล้านครั้งต่อวินาที ซึ่งพวกเขาอ้างว่าเป็นการโจมตี DDoS HTTP ที่ใหญ่ที่สุดในขณะนั้น^{[ 17 ]}การโจมตี DDoS HTTP วัดจากการร้องขอ HTTP ต่อวินาที แทนที่จะเป็นแพ็กเก็ตต่อวินาทีหรือบิตต่อวินาที เมื่อวันที่ 10 กรกฎาคม 2023 แพลตฟอร์มนิยายแฟนฟิคชั่นArchive of Our Own (AO3) เผชิญกับการโจมตี DDoS ทำให้บริการหยุดชะงักกลุ่ม Anonymous Sudanอ้างว่าการโจมตีมีสาเหตุมาจากศาสนาและการเมือง ซึ่ง AO3 และผู้เชี่ยวชาญมองด้วยความสงสัย Flashpoint ผู้ให้บริการข่าวกรองภัยคุกคาม สังเกตเห็นกิจกรรมในอดีตของกลุ่มนี้ แต่สงสัยในแรงจูงใจที่พวกเขากล่าวอ้าง AO3 ซึ่งได้รับการสนับสนุนจากองค์กรไม่แสวงหาผลกำไรOrganization for Transformative Works (OTW) และพึ่งพาเงินบริจาค ไม่น่าจะสามารถจ่ายค่าไถ่Bitcoin จำนวน 30,000 ดอลลาร์ได้ ^{[ 18 ]}^{[ 19 ]}

ในเดือนสิงหาคม พ.ศ. 2566 กลุ่มแฮ็กทิวิสต์NoName057ได้โจมตีสถาบันการเงินของอิตาลีหลายแห่ง โดยดำเนินการโจมตี DoS แบบช้าๆ [ ^{20 ] ใน}วันที่ 14 มกราคม พ.ศ. 2567 พวกเขาได้ดำเนินการโจมตี DDoS บนเว็บไซต์ของรัฐบาลกลางสวิตเซอร์แลนด์ ซึ่งเป็นผลมาจากการที่ประธานาธิบดีเซเลนสกีเข้าร่วมการประชุมเศรษฐกิจโลกที่ดาวอสศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสวิตเซอร์แลนด์ได้บรรเทาการโจมตีอย่างรวดเร็ว ทำให้มั่นใจได้ว่าบริการหลักของรัฐบาลกลางยังคงปลอดภัย แม้จะมีปัญหาการเข้าถึงชั่วคราวบนเว็บไซต์บางแห่ง^{[ 21 ]}ในเดือนตุลาคม พ.ศ. 2566 การใช้ประโยชน์จากช่องโหว่ใหม่ใน โปรโตคอล HTTP/2ส่งผลให้สถิติการโจมตี DDoS HTTP ที่ใหญ่ที่สุดถูกทำลายสองครั้ง ครั้งแรกด้วยการโจมตี 201 ล้านคำขอต่อวินาทีที่ตรวจพบโดย Cloudflare ^{[ 22 ]}และอีกครั้งด้วยการโจมตี 398 ล้านคำขอต่อวินาทีที่ตรวจพบโดยGoogle ^{[ 23 ]}ในเดือนสิงหาคม พ.ศ. 2567 Global Secure Layer ได้สังเกตและรายงานเกี่ยวกับการโจมตี DDoS แบบแพ็กเก็ตที่ทำลายสถิติที่ 3.15 พันล้านแพ็กเก็ตต่อวินาที ซึ่งมุ่งเป้าไปที่เซิร์ฟเวอร์เกม Minecraft ที่ไม่เป็นทางการจำนวนหนึ่งซึ่ง ไม่ ได้เปิดเผย ^{[ 24 ]}

ในเดือนตุลาคม พ.ศ. 2567 Internet Archiveเผชิญกับการโจมตี DDoS รุนแรงสองครั้งที่ทำให้เว็บไซต์ใช้งานไม่ได้โดยสิ้นเชิง ตามมาด้วยการโจมตีครั้งก่อนที่ข้อมูลของผู้ใช้เว็บไซต์กว่า 31 ล้านคนรั่วไหล^{[ 25 ]}^{[ 26 ]}กลุ่มแฮ็กเกอร์SN_Blackmetaอ้างว่าการโจมตี DDoS ครั้งนี้เป็นการแก้แค้นที่สหรัฐอเมริกาเข้าไปเกี่ยวข้องกับสงครามกาซาแม้ว่า Internet Archive จะไม่มีส่วนเกี่ยวข้องกับรัฐบาลสหรัฐฯ ก็ตาม อย่างไรก็ตาม ความเชื่อมโยงของพวกเขากับการรั่วไหลของข้อมูลก่อนหน้านี้ยังไม่ชัดเจน^{[ 27 ]}

Cloudflareอ้างว่าได้บันทึกและบล็อกการโจมตี DDoS เป็นเวลา 40 วินาทีได้สำเร็จโดยอัตโนมัติในวันที่ 23 กันยายน 2025 ซึ่งมีปริมาณสูงสุดถึง 22.2 Tbit/s ซึ่งจะเป็นการโจมตี DDoS ครั้งใหญ่ที่สุดเท่าที่เคยมีมา^{[ 28 ]} Cloudflare ระบุว่ามีการใช้ IP ต้นทางมากกว่า 404,000 รายการเพื่อกำหนดเป้าหมายไปยังที่อยู่ IP เดียว และ IP ต้นทางเหล่านั้นไม่ได้ถูกปลอมแปลง[ ^{29 ] ตาม}ที่ Cloudflare กล่าว การโจมตีครั้งนี้เกิดขึ้นหลังจากมีการโจมตี DDoS ขนาดใหญ่หลายครั้งติดต่อกัน โดยแต่ละครั้งทำลายสถิติเดิม รวมถึงการโจมตี 7.3 Tbit/s ในเดือนพฤษภาคม 2025 และการโจมตี 11.5 Tbit/s ในวันที่ 1 กันยายน 2025 ^{[ 30 ]}

ประเภท

การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service attacks)มีลักษณะเป็นการพยายามอย่างชัดเจนของผู้โจมตีเพื่อป้องกันการใช้งานบริการอย่างถูกต้องตามกฎหมาย การโจมตีแบบ DoS มีสองรูปแบบหลัก ได้แก่ การโจมตีที่ทำให้บริการล่ม และการโจมตีที่ทำให้บริการล่ม การโจมตีที่ร้ายแรงที่สุดคือการโจมตีแบบกระจาย^{[ 31 ]}

การโจมตีแบบ DoS แบบกระจาย

การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) เกิดขึ้นเมื่อระบบหลายระบบโจมตีแบนด์วิดท์หรือทรัพยากรของระบบเป้าหมาย ซึ่งโดยปกติจะเป็นเว็บเซิร์ฟเวอร์หนึ่งเครื่องหรือมากกว่า^{[ 31 ]}การโจมตี DDoS ใช้ที่อยู่ IP หรือเครื่องมากกว่าหนึ่งเครื่องที่ไม่ซ้ำกัน ซึ่งมักมาจากโฮสต์หลายพันเครื่องที่ติดมัลแวร์ [ ^{32 ] [}^{33 ] การ}โจมตีแบบปฏิเสธการให้บริการแบบกระจายโดยทั่วไปเกี่ยวข้องกับโหนดมากกว่า 3-5 โหนดบนเครือข่ายที่แตกต่างกัน โหนดที่น้อยกว่าอาจจัดเป็นการโจมตี DoS แต่ไม่ใช่การโจมตี DDoS ^{[ 34 ]}^{[ 35 ]}

ส่วนใหญ่แล้ว ผู้โจมตีจะดำเนินการจากปลายทางที่ไม่ใช่เป้าหมายที่ตั้งใจไว้ เช่น ใช้เครื่องของผู้ใช้รายอื่นเพื่อโจมตีเซิร์ฟเวอร์ การใช้ปลายทางที่ไม่คาดคิดอีกแห่งหนึ่ง หากปลายทางนั้นถูกบุกรุก พวกเขาก็สามารถย้ายไปยังเวิร์กสเตชันอื่นภายในเครือข่ายขององค์กรได้^{[ 36 ]}อย่างไรก็ตาม แม้จะปลอมแปลงผู้ใช้จำนวนมากและดำเนินการโจมตี DoS ผู้โจมตีเพียงรายเดียวที่มีคอมพิวเตอร์เพียงไม่กี่เครื่องก็ยังคงมีข้อจำกัดมากในปริมาณการรับส่งข้อมูลที่พวกเขาสามารถสร้างได้^{[ 37 ]}หากการโจมตีมาจากหลายแหล่ง โฮสต์อาจระบุและหยุดยั้งได้ยาก^{[ 38 ]}

ขนาดของการโจมตี DDoS เพิ่มขึ้นอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา โดยในปี 2016 เกิน 1 เทรา บิตต่อวินาที^{[ 39 ]}^{[ 40 ]}ตัวอย่างทั่วไปของการโจมตี DDoS ได้แก่ การโจมตีแบบ UDP flooding , SYN floodingและDNS amplification ^{[ 41 ]}^{[ 42 ]}

โยโย่โจมตี

การโจมตีแบบ โยโย่เป็นการโจมตีแบบ DoS/DDoS ประเภทหนึ่งโดยเฉพาะที่มุ่งเป้าไปที่ แอปพลิเคชัน ที่โฮสต์บนคลาวด์ซึ่งใช้การปรับขนาดอัตโนมัติ^{[ 43 ]}^{[ 44 ]}^{[ 45 ]}ในระหว่างการโจมตี ผู้โจมตีจะสลับไปมาระหว่างการส่งทราฟฟิกจำนวนมาก (ซึ่งทำให้เกิดการขยายขนาด) และการหยุดการส่ง (ซึ่งส่งผลให้เกิดการลดขนาด) ^{[ 46 ]}

การโจมตีระดับแอปพลิเคชัน

การโจมตี DDoS ระดับแอปพลิเคชัน ( บางครั้งเรียกว่าการโจมตี DDoS ระดับเลเยอร์ 7 ) เป็นรูปแบบหนึ่งของการโจมตี DDoS ที่ผู้โจมตีมุ่งเป้าไปที่กระบวนการระดับแอปพลิเคชัน^{[ 47 ]}^{[ 34 ]}การโจมตีนี้จะใช้ฟังก์ชันหรือคุณสมบัติเฉพาะของเว็บไซต์มากเกินไปโดยมีเจตนาที่จะปิดใช้งานฟังก์ชันหรือคุณสมบัติเหล่านั้น การโจมตีระดับแอปพลิเคชันนี้แตกต่างจากการโจมตีเครือข่ายทั้งหมด และมักใช้กับสถาบันการเงินเพื่อเบี่ยงเบนความสนใจของเจ้าหน้าที่ไอทีและเจ้าหน้าที่รักษาความปลอดภัยจากการละเมิดความปลอดภัย^{[ 48 ]}ในปี 2556 การโจมตี DDoS ระดับแอปพลิเคชันคิดเป็น 20% ของการโจมตี DDoS ทั้งหมด^{[ 49 ]}จากการวิจัยของAkamai Technologies พบว่า มีการโจมตีระดับแอปพลิเคชันเพิ่มขึ้น "51 เปอร์เซ็นต์" จากไตรมาสที่ 4 ปี 2556 ถึงไตรมาสที่ 4 ปี 2557 และ "16 เปอร์เซ็นต์" จากไตรมาสที่ 3 ปี 2557 ถึงไตรมาสที่ 4 ปี 2557 ^{[ 50 ]}ในเดือนพฤศจิกายน 2560; Junade Ali วิศวกรของ Cloudflare ตั้งข้อสังเกตว่า แม้ว่าการโจมตีระดับเครือข่ายจะยังคงมีศักยภาพสูง แต่ก็เกิดขึ้นน้อยลง Ali ยังตั้งข้อสังเกตเพิ่มเติมว่า แม้ว่าการโจมตีระดับเครือข่ายจะเกิดขึ้นน้อยลง แต่ข้อมูลจาก Cloudflare แสดงให้เห็นว่าการโจมตีระดับแอปพลิเคชันยังคงไม่มีทีท่าว่าจะลดลง^{[ 51 ]}

วิธีการโจมตี

การโจมตี DoS ที่ง่ายที่สุดนั้นอาศัยการโจมตีแบบ Brute Force เป็นหลัก โดยการส่งแพ็กเก็ตจำนวนมหาศาลไปยังเป้าหมาย ทำให้แบนด์วิดท์การเชื่อมต่อของเป้าหมายเต็ม หรือทำให้ทรัพยากรระบบของเป้าหมายหมดลง การโจมตีแบบทำให้แบนด์วิดท์เต็มนั้นอาศัยความสามารถของผู้โจมตีในการสร้างแพ็กเก็ตจำนวนมหาศาล วิธีที่นิยมใช้ในปัจจุบันคือการโจมตีแบบ Distributed Denial-of-Service โดยใช้บอทเน็ตการโจมตี DDoS ในระดับแอปพลิเคชันนั้นทำขึ้นเพื่อวัตถุประสงค์เฉพาะเจาะจง เช่น การขัดขวางธุรกรรมและการเข้าถึงฐานข้อมูล การโจมตีประเภทนี้ต้องการทรัพยากรน้อยกว่าการโจมตีในระดับเครือข่าย แต่ก็มักจะเกิดขึ้นควบคู่กันไป^{[ 52 ]}การโจมตีอาจถูกปลอมแปลงให้ดูเหมือนการรับส่งข้อมูลที่ถูกต้องตามกฎหมาย ยกเว้นแต่ว่าจะมุ่งเป้าไปที่แพ็กเก็ตหรือฟังก์ชันของแอปพลิเคชันโดยเฉพาะ การโจมตีในระดับแอปพลิเคชันสามารถขัดขวางบริการต่างๆ เช่น การดึงข้อมูลหรือฟังก์ชันการค้นหาบนเว็บไซต์ได้^{[ 49 ]}

การโจมตี DoS ขั้นสูงแบบถาวร

การ โจมตี DoS แบบต่อเนื่องขั้นสูง (APDoS) เกี่ยวข้องกับภัยคุกคามแบบต่อเนื่องขั้นสูงและต้องการการบรรเทา DDoS แบบพิเศษ[ 53 ^{]การโจมตี}เหล่านี้สามารถเกิดขึ้นได้นานหลายสัปดาห์ ระยะเวลาต่อเนื่องที่ยาวนานที่สุดที่บันทึกไว้คือ 38 วัน การโจมตีนี้เกี่ยวข้องกับปริมาณการรับส่งข้อมูลที่เป็นอันตรายประมาณ 50+ เพตาบิต (50,000+ เทราบิต) ^{[ 54 ]}ในสถานการณ์นี้ ผู้โจมตีอาจสลับเป้าหมายไปมาระหว่างเป้าหมายหลายเป้าหมายเพื่อสร้างความเบี่ยงเบนเพื่อหลีกเลี่ยงมาตรการป้องกัน DDoS แต่ในขณะเดียวกันก็มุ่งเน้นการโจมตีหลักไปที่เหยื่อรายเดียว ในสถานการณ์นี้ ผู้โจมตีที่สามารถเข้าถึงทรัพยากรเครือข่ายที่มีประสิทธิภาพสูงมากได้อย่างต่อเนื่องสามารถดำเนินแคมเปญที่ยาวนานโดยสร้างปริมาณการรับส่งข้อมูล DDoS ที่ไม่ได้ขยายจำนวนมหาศาล การโจมตี APDoS มีลักษณะดังนี้:

การลาดตระเวนขั้นสูง ( การรวบรวมข้อมูลข่าวกรองแบบเปิดก่อนการโจมตีและการสแกนล่อเป้าอย่างละเอียดที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับเป็นเวลานาน)
การปฏิบัติการเชิงยุทธวิธี (การโจมตีโดยมีเป้าหมายทั้งหลักและรอง แต่เน้นที่เป้าหมายหลักเป็นหลัก)
แรงจูงใจที่ชัดเจน (เป้าหมาย/จุดมุ่งหมายสุดท้ายที่คำนวณไว้ล่วงหน้า)
ความสามารถในการประมวลผลขนาดใหญ่ (การเข้าถึงพลังการประมวลผลและแบนด์วิดท์เครือข่ายจำนวนมาก)
การโจมตีเลเยอร์ OSI แบบมัลติเธรดพร้อมกัน (เครื่องมือขั้นสูงที่ทำงานในเลเยอร์ 3 ถึง 7)
ความต่อเนื่องในช่วงระยะเวลาที่ยาวนาน (การรวมสิ่งต่างๆ ข้างต้นทั้งหมดเข้าเป็นการโจมตีที่ประสานงานและจัดการอย่างดีในเป้าหมายต่างๆ) ^{[ 55 ]}

การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service)

ผู้ขายบางรายให้บริการที่เรียกว่าbooterหรือstresserซึ่งมีส่วนหน้าเว็บที่เรียบง่ายและรับชำระเงินผ่านเว็บ มีการทำการตลาดและโปรโมตว่าเป็นเครื่องมือทดสอบความเครียด แต่สามารถใช้เพื่อโจมตีแบบปฏิเสธการให้บริการโดยไม่ได้รับอนุญาต และอนุญาตให้ผู้โจมตีที่ไม่เชี่ยวชาญด้านเทคนิคเข้าถึงเครื่องมือโจมตีที่ซับซ้อนได้^{[ 56 ]}โดยปกติแล้ว stresser สำหรับผู้บริโภคจะขับเคลื่อนด้วยบอทเน็ต ปริมาณการรับส่งข้อมูลที่สร้างขึ้นอาจมีตั้งแต่ 5-50 Gbit/s ซึ่งในกรณีส่วนใหญ่สามารถปฏิเสธการเข้าถึงอินเทอร์เน็ตของผู้ใช้ตามบ้านทั่วไปได้^{[ 57 ]}

การโจมตีแบบปฏิเสธการให้บริการที่ปรับแต่งด้วยมาร์คอฟ

การโจมตีแบบปฏิเสธการให้บริการที่ควบคุมด้วย Markov เกิดขึ้นเมื่อผู้โจมตีขัดขวางแพ็กเก็ตควบคุมโดยใช้โมเดล Markov ที่ซ่อนอยู่สถานการณ์ที่การโจมตีแบบใช้โมเดล Markov แพร่หลายคือเกมออนไลน์ เนื่องจากการขัดขวางแพ็กเก็ตควบคุมทำให้การเล่นเกมและฟังก์ชันการทำงานของระบบเสียหาย^{[ 58 ]}

อาการ

ทีมเตรียมความพร้อมฉุกเฉินทางคอมพิวเตอร์ของสหรัฐอเมริกา ( US-CERT) ได้ระบุอาการของการโจมตีแบบปฏิเสธการให้บริการไว้ดังนี้: ^{[ 59 ]}

ประสิทธิภาพเครือข่ายช้าผิดปกติ(เช่น การเปิดไฟล์หรือการเข้าถึงเว็บไซต์)
เว็บไซต์ใดเว็บไซต์หนึ่งไม่สามารถใช้งานได้ หรือ
ไม่สามารถเข้าถึงเว็บไซต์ใดๆ ได้

เทคนิคการโจมตี

เครื่องมือโจมตี

ในกรณีเช่นMyDoomและSlowlorisเครื่องมือเหล่านี้ถูกฝังอยู่ในมัลแวร์และโจมตีโดยที่เจ้าของระบบไม่รู้ตัวStacheldrahtเป็นตัวอย่างคลาสสิกของเครื่องมือ DDoS โดยใช้โครงสร้างแบบหลายชั้นที่ผู้โจมตีใช้โปรแกรมไคลเอ็นต์เพื่อเชื่อมต่อกับแฮนด์เลอร์ ซึ่งเป็นระบบที่ถูกบุกรุกและออกคำสั่งไปยังเอเจนต์ซอมบี้ซึ่งจะช่วยอำนวยความสะดวกในการโจมตี DDoS เอเจนต์จะถูกบุกรุกผ่านแฮนด์เลอร์โดยผู้โจมตีโดยใช้รูทีนอัตโนมัติเพื่อใช้ประโยชน์จากช่องโหว่ในโปรแกรมที่ยอมรับการเชื่อมต่อระยะไกลที่ทำงานบนโฮสต์ระยะไกลเป้าหมาย แฮนด์เลอร์แต่ละตัวสามารถควบคุมเอเจนต์ได้มากถึงหนึ่งพันตัว^{[ 60 ]}

ในบางกรณี เครื่องคอมพิวเตอร์อาจกลายเป็นส่วนหนึ่งของการโจมตี DDoS โดยได้รับความยินยอมจากเจ้าของ เช่น ในปฏิบัติการ Paybackที่จัดโดยกลุ่มAnonymous โดยทั่วไปแล้ว Low Orbit Ion Cannonมักถูกใช้ในลักษณะนี้ นอกจากHigh Orbit Ion Cannon แล้ว ปัจจุบันยังมีเครื่องมือ DDoS หลากหลายชนิดให้เลือกใช้ ทั้งแบบเสียเงินและฟรี โดยมีคุณสมบัติแตกต่างกันไป มีการซื้อขายเครื่องมือเหล่านี้ในตลาดมืดตามฟอรัมและช่อง IRC ที่เกี่ยวข้องกับแฮกเกอร์

การโจมตีระดับแอปพลิเคชัน

การโจมตีระดับแอปพลิเคชันใช้ช่องโหว่ ที่ทำให้เกิด DoS และอาจทำให้ซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ใช้พื้นที่ดิสก์จนเต็ม หรือใช้หน่วยความจำหรือเวลา CPU ที่มีอยู่ทั้งหมด การโจมตีอาจใช้แพ็กเก็ตประเภทเฉพาะหรือคำขอเชื่อมต่อเพื่อทำให้ทรัพยากรที่มีจำกัดอิ่มตัว เช่น การใช้การเชื่อมต่อที่เปิดอยู่จนเต็มจำนวน หรือทำให้พื้นที่ดิสก์ของเหยื่อเต็มไปด้วยบันทึก ผู้โจมตีที่มีสิทธิ์เข้าถึงระดับเชลล์ในคอมพิวเตอร์ของเหยื่ออาจทำให้เครื่องช้าลงจนใช้งานไม่ได้ หรือทำให้เครื่องล่มโดยใช้fork bombการโจมตี DoS ระดับแอปพลิเคชันอีกประเภทหนึ่งคือ XDoS (หรือ XML DoS) ซึ่งสามารถควบคุมได้ด้วยไฟร์วอลล์แอปพลิเคชัน เว็บ (WAF) สมัยใหม่ การโจมตีทั้งหมดที่อยู่ในหมวดหมู่ของการใช้ประโยชน์จากการหมดเวลา^{[ 61 ]}

การโจมตี DoS แบบช้าๆดำเนินการโจมตีระดับแอปพลิเคชัน ตัวอย่างของภัยคุกคาม ได้แก่ Slowloris ซึ่งสร้างการเชื่อมต่อที่ค้างอยู่กับเหยื่อ หรือSlowDroidซึ่งเป็นการโจมตีที่ทำงานบนอุปกรณ์เคลื่อนที่ เป้าหมายอีกประการหนึ่งของการโจมตี DDoS อาจเป็นการสร้างต้นทุนเพิ่มเติมให้กับผู้ให้บริการแอปพลิเคชัน เมื่อผู้ให้บริการใช้ทรัพยากรที่อิงกับการประมวลผลแบบคลาวด์ในกรณีนี้ ทรัพยากรที่แอปพลิเคชันใช้โดยปกติจะผูกกับระดับคุณภาพการบริการ (QoS) ที่จำเป็น (เช่น การตอบสนองควรน้อยกว่า 200 มิลลิวินาที) และกฎนี้มักจะเชื่อมโยงกับซอฟต์แวร์อัตโนมัติ (เช่น Amazon CloudWatch) ^{[ 62 ]}เพื่อเพิ่มทรัพยากรเสมือนจากผู้ให้บริการเพื่อตอบสนองระดับ QoS ที่กำหนดไว้สำหรับคำขอที่เพิ่มขึ้น แรงจูงใจหลักเบื้องหลังการโจมตีดังกล่าวอาจเป็นการผลักดันให้เจ้าของแอปพลิเคชันเพิ่มระดับความยืดหยุ่นเพื่อจัดการกับปริมาณการใช้งานแอปพลิเคชันที่เพิ่มขึ้น ทำให้เกิดความสูญเสียทางการเงิน หรือบังคับให้พวกเขามีความสามารถในการแข่งขันน้อยลงการโจมตีแบบกล้วยเป็น DoS ประเภทหนึ่งโดยเฉพาะ ซึ่งเกี่ยวข้องกับการเปลี่ยนเส้นทางข้อความขาออกจากไคลเอนต์กลับไปยังไคลเอนต์ ป้องกันการเข้าถึงจากภายนอก รวมถึงการส่งแพ็กเก็ตจำนวนมากไปยังไคลเอนต์ การ โจมตี ทางบกเป็นการโจมตีประเภทนี้

การโจมตีที่ทำให้คุณภาพการให้บริการลดลง

ซอมบี้แบบพัลส์คือคอมพิวเตอร์ที่ถูกบุกรุกซึ่งได้รับคำสั่งให้ทำการโจมตีเว็บไซต์เหยื่อเป็นระยะๆ และในช่วงเวลาสั้นๆ โดยมีจุดประสงค์เพียงเพื่อทำให้เว็บไซต์ช้าลงแทนที่จะทำให้เว็บไซต์ล่ม การโจมตีประเภทนี้เรียกว่า การลดระดับการให้บริการ ( degradation-of-service ) ซึ่งอาจตรวจจับได้ยากกว่า และอาจขัดขวางการเชื่อมต่อกับเว็บไซต์เป็นเวลานาน ซึ่งอาจทำให้เกิดความเสียหายโดยรวมมากกว่าการโจมตีแบบปฏิเสธการให้บริการ (denial-of-service attack) ^{[ 63 ]}^{[ 64 ]}การเปิดเผยการโจมตีแบบลดระดับการให้บริการมีความซับซ้อนมากขึ้นเนื่องจากต้องพิจารณาว่าเซิร์ฟเวอร์ถูกโจมตีจริงหรือไม่ หรือกำลังประสบกับปริมาณการใช้งานที่ถูกต้องตามกฎหมายสูงกว่าปกติ^{[ 65 ]}

การโจมตี DoS แบบกระจาย

หากผู้โจมตีทำการโจมตีจากโฮสต์เดียว การโจมตีนั้นจะถูกจัดเป็น DoS attack การโจมตีใดๆ ที่ส่งผลต่อความพร้อมใช้งานจะถูกจัดเป็นการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service attack) ในทางกลับกัน หากผู้โจมตีใช้หลายระบบเพื่อโจมตีโฮสต์ระยะไกลพร้อมกัน การโจมตีนั้นจะถูกจัดเป็น DDoS attack มัลแวร์สามารถใช้กลไกการโจมตี DDoS ได้ ตัวอย่างที่รู้จักกันดีอย่างหนึ่งคือMyDoomกลไก DoS ของมันจะทำงานในวันที่และเวลาที่กำหนด การโจมตี DDoS ประเภทนี้เกี่ยวข้องกับการกำหนดที่อยู่IP เป้าหมายไว้ล่วงหน้า ก่อนที่จะปล่อยมัลแวร์ และไม่จำเป็นต้องมีการโต้ตอบเพิ่มเติมเพื่อเริ่มการโจมตี ระบบอาจถูกบุกรุกด้วยโทรจันที่มีเอเจนต์ซอมบี้ผู้โจมตีสามารถเจาะระบบได้โดยใช้เครื่องมืออัตโนมัติที่ใช้ประโยชน์จากช่องโหว่ในโปรแกรมที่รอรับการเชื่อมต่อจากโฮสต์ระยะไกล สถานการณ์นี้ส่วนใหญ่เกี่ยวข้องกับระบบที่ทำหน้าที่เป็นเซิร์ฟเวอร์บนเว็บStacheldrahtเป็นตัวอย่างคลาสสิกของเครื่องมือ DDoS มันใช้โครงสร้างแบบหลายชั้น โดยที่ผู้โจมตีใช้โปรแกรมไคลเอ็นต์เพื่อเชื่อมต่อกับแฮนด์เลอร์ ซึ่งเป็นระบบที่ถูกบุกรุกที่ออกคำสั่งไปยังเอเจนต์ซอมบี้ ซึ่งในทางกลับกันจะอำนวยความสะดวกในการโจมตี DDoS เอเจนต์จะถูกบุกรุกผ่านแฮนด์เลอร์โดยผู้โจมตี แฮนด์เลอร์แต่ละตัวสามารถควบคุมเอเจนต์ได้มากถึงหนึ่งพันตัว^{[ 60 ]}ในบางกรณี เครื่องอาจกลายเป็นส่วนหนึ่งของการโจมตี DDoS โดยได้รับความยินยอมจากเจ้าของ ตัวอย่างเช่น ในปฏิบัติการ Paybackที่จัดโดยกลุ่มAnonymousการโจมตีเหล่านี้สามารถใช้แพ็กเก็ตอินเทอร์เน็ตประเภทต่างๆ เช่นTCP , UDP, ICMP เป็นต้น

กลุ่มของระบบที่ถูกบุกรุกเหล่านี้เรียกว่าบอทเน็ตเครื่องมือ DDoS เช่นStacheldrahtยังคงใช้วิธีการโจมตี DoS แบบคลาสสิกที่เน้นการปลอมแปลง IPและการขยายผล เช่นการโจมตีแบบ smurfและการโจมตีแบบ fraggle (การโจมตีที่ใช้แบนด์วิดท์จำนวนมาก) อาจมีการใช้ SYN floods (การโจมตีที่ทำให้ทรัพยากรขาดแคลน) เครื่องมือรุ่นใหม่สามารถใช้เซิร์ฟเวอร์ DNS เพื่อวัตถุประสงค์ DoS ได้ แตกต่างจากกลไก DDoS ของ MyDoom บอทเน็ตสามารถหันไปโจมตีที่อยู่ IP ใดก็ได้ สคริปต์ คิดดี้ใช้บอทเน็ตเพื่อปิดกั้นการเข้าถึงเว็บไซต์ที่รู้จักกันดีสำหรับผู้ใช้ที่ถูกต้อง^{[ 66 ]}ผู้โจมตีที่ซับซ้อนกว่าใช้เครื่องมือ DDoS เพื่อวัตถุประสงค์ในการกรรโชกทรัพย์ รวมถึงคู่แข่งทางธุรกิจของพวกเขา^{[ 67 ]}มีรายงานว่ามีการโจมตีรูปแบบใหม่จาก อุปกรณ์ อินเทอร์เน็ตของสิ่งต่างๆ (IoT) ที่เกี่ยวข้องกับการโจมตีแบบปฏิเสธการให้บริการ^{[ 68 ]}การโจมตีดังกล่าวครั้งหนึ่งมีจำนวนคำขอสูงสุดประมาณ 20,000 คำขอต่อวินาที โดยมาจากกล้องวงจรปิดประมาณ 900 ตัว^{[ 69 ]} GCHQของสหราชอาณาจักรมีเครื่องมือที่สร้างขึ้นสำหรับ DDoS ซึ่งมีชื่อว่า PREDATORS FACE และ ROLLING THUNDER ^{[ 70 ]}

การโจมตีแบบง่ายๆ เช่น SYN floods อาจปรากฏขึ้นพร้อมกับที่อยู่ IP ต้นทางที่หลากหลาย ทำให้ดูเหมือนเป็นการโจมตี DoS แบบกระจาย การโจมตีแบบ flood เหล่านี้ไม่จำเป็นต้องทำการจับมือสามทาง ของ TCP ให้เสร็จสมบูรณ์ และพยายามทำให้คิว SYN ปลายทางหรือแบนด์วิดท์ของเซิร์ฟเวอร์หมดลง เนื่องจากที่อยู่ IP ต้นทางสามารถปลอมแปลงได้อย่างง่ายดาย การโจมตีจึงอาจมาจากแหล่งที่มาจำนวนจำกัด หรืออาจมาจากโฮสต์เดียวก็ได้ การปรับปรุงสแต็ก เช่นSYN cookiesอาจเป็นวิธีบรรเทาที่มีประสิทธิภาพต่อการโจมตีแบบ SYN queue flooding แต่ไม่ได้แก้ไขปัญหาแบนด์วิดท์หมดลง ในปี 2022 การโจมตี TCP เป็นวิธีการหลักในเหตุการณ์ DDoS คิดเป็น 63% ของกิจกรรม DDoS ทั้งหมด ซึ่งรวมถึงกลยุทธ์ต่างๆ เช่นTCP SYN , TCP ACK และ TCP floods เนื่องจาก TCP เป็นโปรโตคอลเครือข่ายที่แพร่หลายที่สุด การโจมตี TCP จึงคาดว่าจะยังคงแพร่หลายในฉากภัยคุกคาม DDoS ต่อไป^{[ 16 ]}

การขู่กรรโชกด้วย DDoS

ในปี 2558 บอทเน็ต DDoS เช่น DD4BC มีบทบาทโดดเด่นมากขึ้น โดยมุ่งเป้าไปที่สถาบันการเงิน^{[ 71 ]}โดยทั่วไปแล้ว ผู้ขู่กรรโชกทางไซเบอร์จะเริ่มต้นด้วยการโจมตีระดับต่ำและเตือนว่าจะมีการโจมตีที่ใหญ่กว่าหากไม่จ่ายค่าไถ่เป็นบิตคอยน์ [ ^{72 ] ผู้เชี่ยวชาญ}ด้านความปลอดภัยแนะนำให้เว็บไซต์เป้าหมายไม่จ่ายค่าไถ่ ผู้โจมตีมักจะเข้าสู่แผนการขู่กรรโชกที่ยืดเยื้อเมื่อพวกเขารู้ว่าเป้าหมายพร้อมที่จะจ่าย^{[ 73 ]}

การโจมตี DoS แบบ HTTP ช้า POST

การโจมตีแบบ HTTP slow POST ซึ่งถูกค้นพบครั้งแรกในปี 2009 นั้น จะส่งส่วนหัว HTTP POST ที่สมบูรณ์และถูกต้องตามกฎหมาย ซึ่งรวมถึง ฟิลด์ Content-Lengthเพื่อระบุขนาดของเนื้อหาข้อความที่จะตามมา อย่างไรก็ตาม ผู้โจมตีจะดำเนินการส่งเนื้อหาข้อความจริงด้วยอัตราที่ช้ามาก (เช่น 1 ไบต์/110 วินาที) เนื่องจากข้อความทั้งหมดถูกต้องและสมบูรณ์ เซิร์ฟเวอร์เป้าหมายจะพยายามปฏิบัติตาม ฟิลด์ Content-Lengthในส่วนหัวและรอให้เนื้อหาข้อความทั้งหมดถูกส่ง ซึ่งอาจใช้เวลานานมาก ผู้โจมตีจะสร้างการเชื่อมต่อดังกล่าวหลายร้อยหรือหลายพันครั้งจนกว่าทรัพยากรสำหรับการเชื่อมต่อขาเข้าบนเซิร์ฟเวอร์เหยื่อจะหมดลง ทำให้ไม่สามารถเชื่อมต่อเพิ่มเติมได้จนกว่าข้อมูลทั้งหมดจะถูกส่งไปแล้ว ที่น่าสังเกตคือ ต่างจากการโจมตี DoS หรือ DDoS อื่นๆ ที่พยายามทำให้เซิร์ฟเวอร์ล่มโดยการโอเวอร์โหลดเครือข่ายหรือ CPU การโจมตีแบบ HTTP slow POST จะมุ่งเป้าไปที่ ทรัพยากร เชิงตรรกะของเหยื่อ ซึ่งหมายความว่าเหยื่อจะยังคงมีแบนด์วิดท์เครือข่ายและกำลังประมวลผลเพียงพอที่จะใช้งานได้^{[ 74 ]}เมื่อรวมกับข้อเท็จจริงที่ว่าApache HTTP Serverจะยอมรับคำขอที่มีขนาดไม่เกิน 2GB โดยค่าเริ่มต้น การโจมตีนี้จึงมีประสิทธิภาพเป็นพิเศษ การโจมตี HTTP slow POST นั้นยากที่จะแยกแยะออกจากการเชื่อมต่อที่ถูกต้องตามกฎหมาย และด้วยเหตุนี้จึงสามารถหลีกเลี่ยงระบบป้องกันบางระบบได้OWASPซึ่งเป็น โครงการรักษาความปลอดภัยแอปพลิเคชันเว็บ แบบโอเพนซอร์สได้เผยแพร่เครื่องมือเพื่อทดสอบความปลอดภัยของเซิร์ฟเวอร์ต่อการโจมตีประเภทนี้^{[ 75 ]}

การโจมตี Challenge Collapsar (CC)

การโจมตีแบบ Challenge Collapsar (CC) เป็นการโจมตีที่ส่งคำขอ HTTP มาตรฐานไปยังเว็บเซิร์ฟเวอร์เป้าหมายบ่อยครั้ง ตัวระบุทรัพยากรสากล (URI) ในคำขอต้องการอัลกอริทึมที่ซับซ้อนและใช้เวลานาน หรือการดำเนินการฐานข้อมูล ซึ่งอาจทำให้ทรัพยากรของเว็บเซิร์ฟเวอร์เป้าหมายหมดลง^{[ 76 ]}^{[ 77 ]}^{[ 78 ]}ในปี 2547 แฮกเกอร์ชาวจีนที่มีชื่อเล่นว่า KiKi ได้คิดค้นเครื่องมือแฮ็กเพื่อส่งคำขอประเภทนี้เพื่อโจมตีไฟร์วอลล์ NSFOCUS ที่ชื่อว่า Collapsar ดังนั้นเครื่องมือแฮ็กนี้จึงเป็นที่รู้จักในชื่อ Challenge Collapsar หรือCCย่อๆ และด้วยเหตุนี้ การโจมตีประเภทนี้จึงได้ชื่อว่า การ โจมตีCC ^{[ 79 ]}

การโจมตีแบบกระจายของโปรโตคอลควบคุมข้อความอินเทอร์เน็ต (ICMP)

การโจมตีแบบ smurfอาศัยอุปกรณ์เครือข่ายที่ตั้งค่าไม่ถูกต้องซึ่งอนุญาตให้ส่งแพ็กเก็ตไปยังโฮสต์คอมพิวเตอร์ทั้งหมดในเครือข่ายเฉพาะผ่านที่อยู่บรอดแคสต์ของเครือข่าย แทนที่จะเป็นเครื่องใดเครื่องหนึ่งโดยเฉพาะ ผู้โจมตีจะส่ง แพ็กเก็ต IP จำนวนมาก โดยปลอมที่อยู่ต้นทางให้ดูเหมือนที่อยู่ของเหยื่อ^{[ 80 ]}โดยค่าเริ่มต้น อุปกรณ์ส่วนใหญ่ในเครือข่ายจะตอบสนองโดยการส่งการตอบกลับไปยังที่อยู่ IP ต้นทาง หากจำนวนเครื่องในเครือข่ายที่รับและตอบสนองต่อแพ็กเก็ตเหล่านี้มีจำนวนมาก คอมพิวเตอร์ของเหยื่อจะถูกโจมตีด้วยปริมาณการรับส่งข้อมูลจำนวนมาก ซึ่งจะทำให้คอมพิวเตอร์ของเหยื่อทำงานหนักเกินไปและอาจทำให้ใช้งานไม่ได้ในระหว่างการโจมตีดังกล่าว^{[ 81 ]}

การโจมตี แบบ Ping floodนั้นอาศัยการส่ง แพ็กเก็ต ping จำนวนมหาศาลไปยังเหยื่อ โดยปกติจะใช้ คำสั่ง pingจากโฮสต์ที่คล้าย Unix ^{[ a ]}การโจมตีนี้ทำได้ง่ายมาก โดยข้อกำหนดหลักคือการเข้าถึงแบนด์วิดท์ ที่มากกว่า เหยื่อ การโจมตีแบบ Ping of deathนั้นอาศัยการส่งแพ็กเก็ต ping ที่ผิดรูปแบบไปยังเหยื่อ ซึ่งจะนำไปสู่การล่มของระบบบนระบบที่เปราะบาง การโจมตี BlackNurseเป็นตัวอย่างของการโจมตีที่ใช้ประโยชน์จากแพ็กเก็ต ICMP Destination Port Unreachable ที่จำเป็น

นิวเคลียร์

การโจมตีแบบนิวเคลียร์เป็นการโจมตีแบบปฏิเสธการให้บริการแบบเก่าต่อเครือข่ายคอมพิวเตอร์โดยประกอบด้วย แพ็กเก็ต ICMP ที่แตกเป็นส่วนๆ หรือไม่ถูกต้อง ส่งไปยังเป้าหมาย โดยใช้ ยูทิลิตี้ ping ที่ดัดแปลง เพื่อส่งข้อมูลที่เสียหาย นี้ซ้ำๆ ทำให้คอมพิวเตอร์ที่ได้รับผลกระทบทำงานช้าลงจนหยุดทำงานโดยสิ้นเชิง ตัวอย่างเฉพาะของการโจมตีแบบนิวเคลียร์ที่ได้รับความสนใจคือWinNukeซึ่งใช้ประโยชน์จากช่องโหว่ใน ตัวจัดการ NetBIOSในWindows 95สตริงข้อมูลนอกแบนด์ถูกส่งไปยัง พอร์ต TCP 139 ของเครื่องเหยื่อ ทำให้เครื่องค้างและแสดงหน้าจอสีน้ำเงินแห่งความตาย^{[ 82 ]}

การโจมตีแบบ Peer-to-peer

ผู้โจมตีได้ค้นพบวิธีใช้ประโยชน์จากข้อบกพร่องหลายประการใน เซิร์ฟเวอร์ แบบเพียร์ทูเพียร์เพื่อเริ่มการโจมตี DDoS การโจมตี DDoS แบบเพียร์ทูเพียร์ที่รุนแรงที่สุดนั้นใช้ประโยชน์จากเครือข่ายการแชร์ไฟล์DC++ ^{[ 83 ]}ในการโจมตีแบบเพียร์ทูเพียร์นั้นไม่มีบอทเน็ต และผู้โจมตีไม่จำเป็นต้องสื่อสารกับไคลเอนต์ที่ตนบุกรุก แต่ผู้โจมตีจะทำหน้าที่เป็นผู้ควบคุม โดยสั่งให้ไคลเอนต์ของศูนย์กลาง การแชร์ไฟล์แบบเพียร์ทูเพียร์ขนาดใหญ่ตัดการเชื่อมต่อจากเครือข่ายเพียร์ทูเพียร์และเชื่อมต่อกับเว็บไซต์ของเหยื่อแทน^{[ 83 ]}^{[ 84 ]}^{[ 85 ]}

การโจมตีแบบปฏิเสธการให้บริการถาวร

การโจมตี แบบปฏิเสธการให้บริการถาวร (PDoS) หรือที่เรียกกันอย่างไม่เป็นทางการว่า phlashing ^{[ 86 ]}เป็นการโจมตีที่สร้างความเสียหายให้กับระบบอย่างรุนแรงจนต้องเปลี่ยนหรือติดตั้งฮาร์ดแวร์ใหม่^{[ 87 ]}แตกต่างจากการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย การโจมตี PDoS ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่อนุญาตให้มีการบริหารจัดการจากระยะไกลบนอินเทอร์เฟซการจัดการของฮาร์ดแวร์ของเหยื่อ เช่นเราเตอร์เครื่องพิมพ์ หรือฮาร์ดแวร์เครือข่าย อื่นๆ ผู้โจมตีใช้ช่องโหว่ เหล่านี้เพื่อแทนที่ เฟิร์มแวร์ของอุปกรณ์ด้วยภาพเฟิร์มแวร์ที่แก้ไข เสียหาย หรือมีข้อบกพร่อง ซึ่งกระบวนการนี้เมื่อทำอย่างถูกต้องตามกฎหมายเรียกว่าการแฟลชจุดประสงค์คือการทำให้เครื่องใช้งานไม่ได้ ทำให้ไม่สามารถใช้งานได้ตามวัตถุประสงค์เดิมจนกว่าจะได้รับการซ่อมแซมหรือเปลี่ยนใหม่ การโจมตี PDoS เป็นการโจมตีที่มุ่งเป้าไปที่ฮาร์ดแวร์โดยตรง ซึ่งสามารถทำได้เร็วกว่าและต้องการทรัพยากรน้อยกว่าการใช้บอทเน็ตในการโจมตี DDoS เนื่องจากคุณสมบัติเหล่านี้ และศักยภาพและความน่าจะเป็นสูงของการโจมตีด้านความปลอดภัยบนอุปกรณ์ฝังตัวที่เปิดใช้งานเครือข่าย เทคนิคนี้จึงได้รับความสนใจจากชุมชนแฮ็กเกอร์จำนวนมากBrickerBotซึ่งเป็นมัลแวร์ที่มุ่งเป้าไปที่อุปกรณ์ IoT ใช้การโจมตี PDoS เพื่อปิดการใช้งานเป้าหมาย^{[ 88 ]} PhlashDance เป็นเครื่องมือที่สร้างโดย Rich Smith (พนักงานของ ห้องปฏิบัติการความปลอดภัยระบบของ Hewlett-Packard ) ใช้ในการตรวจจับและสาธิตช่องโหว่ PDoS ในการประชุม EUSecWest Applied Security Conference ปี 2008 ที่ลอนดอน สหราชอาณาจักร^{[ 89 ]}

การโจมตีสะท้อนกลับ

การโจมตีแบบปฏิเสธการให้บริการแบบกระจายอาจเกี่ยวข้องกับการส่งคำขอปลอมแปลงบางประเภทไปยังคอมพิวเตอร์จำนวนมากที่จะตอบกลับคำขอเหล่านั้น โดยใช้การปลอมแปลงที่อยู่โปรโตคอลอินเทอร์เน็ต ที่อยู่ต้นทางจะถูกตั้งค่าเป็นที่อยู่ของเหยื่อเป้าหมาย ซึ่งหมายความว่าการตอบกลับทั้งหมดจะถูกส่งไปยัง (และทำให้เกิดการท่วมท้น) เป้าหมาย รูปแบบการโจมตีแบบสะท้อนนี้บางครั้งเรียกว่าการโจมตีแบบปฏิเสธการให้บริการแบบสะท้อนแบบกระจาย (DRDoS) ^{[ 90 ]} การโจมตี คำขอสะท้อน ICMP ( การโจมตี Smurf ) สามารถพิจารณาได้ว่าเป็นรูปแบบหนึ่งของการโจมตีแบบสะท้อน เนื่องจากโฮสต์ที่ทำการท่วมท้นจะส่งคำขอสะท้อนไปยังที่อยู่บรอดแคสต์ของเครือข่ายที่กำหนดค่าไม่ถูกต้อง ซึ่งเป็นการล่อลวงให้โฮสต์ส่งแพ็กเก็ตตอบกลับสะท้อนไปยังเหยื่อ โปรแกรม DDoS ในยุคแรกๆ บางโปรแกรมได้นำรูปแบบการโจมตีแบบกระจายนี้มาใช้

การขยายสัญญาณ

การโจมตีแบบขยายกำลังถูกใช้เพื่อขยายแบนด์วิดท์ที่ส่งไปยังเหยื่อ บริการหลายอย่างสามารถถูกใช้ประโยชน์เพื่อทำหน้าที่เป็นตัวสะท้อนกลับ ซึ่งบางบริการก็ยากต่อการบล็อกมากกว่าบริการอื่นๆ^{[ 91 ]} US-CERT ได้สังเกตว่าบริการต่างๆ อาจส่งผลให้ปัจจัยการขยายกำลังแตกต่างกัน ดังที่แสดงในตารางด้านล่าง: ^{[ 92 ]}

การโจมตีแบบขยายสัญญาณโดยใช้ UDP
โปรโตคอล	ปัจจัยการขยาย	หมายเหตุ
ไมเทล ไมคอลแลบ	2,200,000,000 ^{[ 93 ]}
เมมคาเชด	50,000	แก้ไขในเวอร์ชัน 1.5.6 ^{[ 94 ]}
เอ็นทีพี	556.9	แก้ไขในเวอร์ชัน 4.2.7p26 ^{[ 95 ]}
ชาร์จเจน	358.8
เอ็นเอสดี	ถึง 179 ^{[ 96 ]}
คำคมประจำวัน	140.3
โปรโตคอลเครือข่าย Quake	63.9	แก้ไขแล้วในเวอร์ชัน 71
บิตทอร์เรนต์	4.0 - 54.3 ^{[ 97 ]}	แก้ไขปัญหานี้ใน libuTP ตั้งแต่ปี 2015 แล้ว
โคเอพี	10 - 50
แขน	33.5
SSDP	30.8
คัด	16.3
SNMPv2	6.3
โปรโตคอลไอน้ำ	5.5
เน็ตไบโอส	3.8

การโจมตีแบบขยาย DNSเกี่ยวข้องกับผู้โจมตีที่ส่งคำขอค้นหาชื่อ DNS ไปยังเซิร์ฟเวอร์ DNS สาธารณะหนึ่งตัวหรือมากกว่า โดยปลอมแปลงที่อยู่ IP ต้นทางของเหยื่อเป้าหมาย ผู้โจมตีพยายามขอข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้ จึงขยายการตอบสนอง DNS ที่ส่งไปยังเหยื่อเป้าหมาย เนื่องจากขนาดของคำขอมีขนาดเล็กกว่าการตอบสนองอย่างมาก ผู้โจมตีจึงสามารถเพิ่มปริมาณการรับส่งข้อมูลที่ส่งไปยังเป้าหมายได้อย่างง่ายดาย^{[ 98 ]}^{[ 99 ]}

โปรโตคอลการจัดการเครือข่ายอย่างง่าย (SNMP) และโปรโตคอลเวลาเครือข่าย (NTP) ยังสามารถถูกใช้เป็นตัวสะท้อนในการโจมตีแบบขยายผลได้อีกด้วย ตัวอย่างของการโจมตี DDoS แบบขยายผลผ่าน NTP คือการใช้คำสั่งที่เรียกว่า monlist ซึ่งจะส่งรายละเอียดของโฮสต์ 600 เครื่องล่าสุดที่ขอเวลาจากเซิร์ฟเวอร์ NTP กลับไปยังผู้ร้องขอ การร้องขอขนาดเล็กไปยังเซิร์ฟเวอร์เวลานี้สามารถส่งได้โดยใช้ที่อยู่ IP ต้นทางปลอมของเหยื่อบางราย ซึ่งส่งผลให้มีการตอบกลับที่มีขนาดใหญ่กว่าการร้องขอถึง 556.9 เท่า การโจมตีนี้จะขยายผลมากขึ้นเมื่อใช้บอทเน็ตที่ส่งการร้องขอด้วยที่อยู่ IP ต้นทางปลอมเดียวกัน ซึ่งจะส่งผลให้มีการส่งข้อมูลจำนวนมหาศาลกลับไปยังเหยื่อ^{[ 100 ]}การป้องกันการโจมตีประเภทนี้ทำได้ยากมาก เนื่องจากข้อมูลการตอบกลับมาจากเซิร์ฟเวอร์ที่ถูกต้อง การร้องขอการโจมตีเหล่านี้ยังถูกส่งผ่าน UDP ซึ่งไม่จำเป็นต้องมีการเชื่อมต่อกับเซิร์ฟเวอร์ นั่นหมายความว่าที่อยู่ IP ต้นทางจะไม่ได้รับการตรวจสอบเมื่อเซิร์ฟเวอร์ได้รับการร้องขอ เพื่อสร้างความตระหนักรู้เกี่ยวกับช่องโหว่เหล่านี้ จึงได้มีการเริ่มแคมเปญต่างๆ ที่มุ่งเน้นการค้นหาช่องทางขยายผล ซึ่งนำไปสู่การที่ผู้คนแก้ไขตัวแก้ไขรหัส URL ของตน หรือทำให้ตัวแก้ไขรหัส URL นั้นถูกปิดตัวลงอย่างสมบูรณ์

บอทเน็ตมิไร

บอทเน็ต Miraiทำงานโดยใช้เวิร์มคอมพิวเตอร์เพื่อแพร่เชื้อไปยังอุปกรณ์ IoT หลายแสนเครื่องทั่วอินเทอร์เน็ต เวิร์มจะแพร่กระจายผ่านเครือข่ายและระบบต่างๆ โดยเข้าควบคุมอุปกรณ์ IoT ที่มีการป้องกันไม่ดี เช่น เทอร์โมสตัท นาฬิกาที่เชื่อมต่อ Wi-Fi และเครื่องซักผ้า^{[ 101 ]}โดยปกติแล้วเจ้าของหรือผู้ใช้จะไม่ได้รับทราบทันทีว่าอุปกรณ์ติดเชื้อเมื่อใด อุปกรณ์ IoT เองไม่ได้เป็นเป้าหมายโดยตรงของการโจมตี แต่ถูกใช้เป็นส่วนหนึ่งของการโจมตีที่ใหญ่กว่า^{[ 102 ]}เมื่อแฮ็กเกอร์ควบคุมอุปกรณ์ได้ตามจำนวนที่ต้องการแล้ว พวกเขาจะสั่งให้อุปกรณ์เหล่านั้นพยายามติดต่อ ISP ในเดือนตุลาคม 2559 บอทเน็ต Mirai ได้โจมตี Dynซึ่งเป็น ISP สำหรับเว็บไซต์ต่างๆ เช่นTwitter , Netflixเป็นต้น^{[ 101 ]}ทันทีที่เกิดเหตุการณ์นี้ เว็บไซต์เหล่านี้ก็ไม่สามารถเข้าถึงได้เป็นเวลาหลายชั่วโมง

RU-Dead-Yet? (RUDY)

การโจมตี RUDY มุ่งเป้าไปที่แอปพลิเคชันเว็บโดยการทำให้เซสชันที่มีอยู่บนเซิร์ฟเวอร์เว็บขาดแคลน เช่นเดียวกับ Slowloris RUDY จะทำให้เซสชันหยุดนิ่งโดยใช้การส่ง POST ที่ไม่สิ้นสุดและส่งค่าส่วนหัว content-length ที่มีขนาดใหญ่ตามอำเภอใจ^{[ 103 ]}

แซ็ค แพนิค

การจัดการขนาดเซ็กเมนต์สูงสุดและการรับทราบแบบเลือก (SACK) อาจถูกใช้โดยคู่ค้าระยะไกลเพื่อทำให้เกิดการปฏิเสธการให้บริการโดยการโอเวอร์โฟลว์จำนวนเต็มในเคอร์เนล Linux ซึ่งอาจทำให้เกิดเคอร์เนลแพนิคได้^{[ 104 ]} Jonathan Looney ค้นพบCVE - 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479เมื่อวันที่ 17 มิถุนายน 2019 ^{[ 105 ]}

การโจมตีของหนูชรูว์

การโจมตีแบบ Shrew เป็นการโจมตีแบบปฏิเสธการให้บริการบนโปรโตคอลควบคุมการส่งข้อมูลโดยผู้โจมตีใช้เทคนิค Man-in-the-Middleโดยใช้ประโยชน์จากจุดอ่อนในกลไกการหมดเวลาการส่งซ้ำของ TCP โดยใช้การส่งข้อมูลแบบซิงโครไนซ์เป็นช่วงสั้นๆ เพื่อขัดขวางการเชื่อมต่อ TCP บนลิงก์เดียวกัน^{[ 106 ]}

การโจมตีแบบอ่านช้า

การโจมตีแบบอ่านช้าจะส่งคำขอเลเยอร์แอปพลิเคชันที่ถูกต้อง แต่จะอ่านการตอบกลับช้ามาก โดยเปิดการเชื่อมต่อไว้นานขึ้นโดยหวังว่าจะใช้พูลการเชื่อมต่อของเซิร์ฟเวอร์จนหมด การอ่านช้าทำได้โดยการประกาศตัวเลขที่เล็กมากสำหรับขนาดหน้าต่างรับ TCP และในขณะเดียวกันก็ล้างบัฟเฟอร์รับ TCP ของไคลเอ็นต์อย่างช้าๆ ซึ่งทำให้อัตราการไหลของข้อมูลต่ำมาก^{[ 107 ]}

การโจมตีแบบปฏิเสธการให้บริการแบบกระจายที่ซับซ้อนและใช้แบนด์วิดท์ต่ำ

การโจมตี DDoS ที่ซับซ้อนด้วยแบนด์วิดท์ต่ำเป็นรูปแบบหนึ่งของการโจมตี DoS ที่ใช้ปริมาณการรับส่งข้อมูลน้อยลงและเพิ่มประสิทธิภาพโดยมุ่งเป้าไปที่จุดอ่อนในการออกแบบระบบของเหยื่อ กล่าวคือ ผู้โจมตีส่งการรับส่งข้อมูลที่ประกอบด้วยคำขอที่ซับซ้อนไปยังระบบ^{[ 108 ]}โดยพื้นฐานแล้ว การโจมตี DDoS ที่ซับซ้อนจะมีต้นทุนต่ำกว่าเนื่องจากใช้ปริมาณการรับส่งข้อมูลน้อยลง มีขนาดเล็กกว่าทำให้ระบุได้ยากขึ้น และสามารถทำร้ายระบบที่ได้รับการปกป้องโดยกลไกการควบคุมการไหลได้^{[ 108 ]}^{[ 109 ]}

น้ำท่วม SYN

การโจมตีแบบ SYN floodเกิดขึ้นเมื่อโฮสต์ส่งแพ็กเก็ต TCP/SYN จำนวนมาก โดยมักจะมีที่อยู่ผู้ส่งปลอม แพ็กเก็ตเหล่านี้แต่ละแพ็กเก็ตจะถูกจัดการเหมือนคำขอเชื่อมต่อ ทำให้เซิร์ฟเวอร์สร้างการเชื่อมต่อแบบครึ่งเปิดส่งแพ็กเก็ต TCP/SYN-ACK กลับไป และรอแพ็กเก็ตตอบกลับจากที่อยู่ผู้ส่ง อย่างไรก็ตาม เนื่องจากที่อยู่ผู้ส่งถูกปลอมแปลง การตอบกลับจึงไม่มาถึง การเชื่อมต่อแบบครึ่งเปิดเหล่านี้ทำให้การเชื่อมต่อที่มีอยู่ของเซิร์ฟเวอร์หมดลง ทำให้เซิร์ฟเวอร์ไม่สามารถตอบสนองต่อคำขอที่ถูกต้องได้จนกว่าการโจมตีจะสิ้นสุดลง^{[ 110 ]}

การโจมตีแบบหยดน้ำตา

การโจมตีแบบหยดน้ำตาเกี่ยวข้องกับการส่งชิ้นส่วน IP ที่บิดเบี้ยว พร้อมเพย์โหลดขนาดใหญ่ที่ทับซ้อนกันไปยังเครื่องเป้าหมาย ซึ่งอาจทำให้ระบบปฏิบัติการต่างๆ ล่มได้เนื่องจากข้อบกพร่องในโค้ดการประกอบชิ้นส่วน TCP/IP ใหม่ ^[¹¹¹^] ระบบปฏิบัติการ Windows 3.1x , Windows 95และWindows NTรวมถึงLinuxเวอร์ชันก่อน 2.0.32 และ 2.1.63 มีความเสี่ยงต่อการโจมตีนี้^[^b^]หนึ่งในฟิลด์ในส่วนหัว IPคือ ฟิลด์ ออฟเซ็ตชิ้นส่วนซึ่งระบุตำแหน่งเริ่มต้นหรือออฟเซ็ตของข้อมูลที่อยู่ในแพ็กเก็ตที่แตกเป็นชิ้นส่วนเมื่อเทียบกับข้อมูลในแพ็กเก็ตดั้งเดิม หากผลรวมของออฟเซ็ตและขนาดของแพ็กเก็ตที่แตกเป็นชิ้นส่วนหนึ่งแตกต่างจากแพ็กเก็ตที่แตกเป็นชิ้นส่วนถัดไป แพ็กเก็ตจะทับซ้อนกัน เมื่อเกิดเหตุการณ์นี้ เซิร์ฟเวอร์ที่มีความเสี่ยงต่อการโจมตีแบบหยดน้ำตาจะไม่สามารถประกอบแพ็กเก็ตใหม่ได้ ส่งผลให้เกิดสภาวะการปฏิเสธการให้บริการ^[¹¹⁴^]

การปฏิเสธการให้บริการทางโทรศัพท์

เทคโนโลยี Voice over IPทำให้การโทรออกด้วยเสียงจำนวนมากอย่างผิดกฎหมายมีราคาถูกและสามารถทำได้โดยอัตโนมัติอย่างง่ายดาย ขณะเดียวกันก็อนุญาตให้ปลอมแปลงแหล่งที่มาของการโทรผ่านการปลอมแปลงหมายเลขผู้โทร (Caller ID spoofing ) ตามรายงานของสำนักงานสอบสวนกลาง แห่งสหรัฐอเมริกา (FBI) การโจมตีแบบปฏิเสธการให้บริการทางโทรศัพท์ (TDoS) ปรากฏอยู่ในแผนการฉ้อโกงต่างๆ:

มิจฉาชีพติดต่อธนาคารหรือนายหน้าของเหยื่อ โดยแอบอ้างเป็นเหยื่อเพื่อขอให้โอนเงิน ความพยายามของธนาคารในการติดต่อเหยื่อเพื่อยืนยันการโอนเงินล้มเหลว เนื่องจากสายโทรศัพท์ของเหยื่อถูกโทรเข้ามาเป็นจำนวนมากจนไม่สามารถติดต่อเหยื่อได้^{[ 115 ]}
มิจฉาชีพติดต่อผู้บริโภคโดยอ้างสิทธิ์เท็จเพื่อเรียกเก็บเงินกู้เงิน ด่วนค้างชำระ เป็นจำนวนเงินหลายพันดอลลาร์ เมื่อผู้บริโภคคัดค้าน มิจฉาชีพจะตอบโต้ด้วยการโทรอัตโนมัติไปยังนายจ้างของเหยื่อเป็นจำนวนมาก ในบางกรณี หมายเลขผู้โทรที่แสดงจะถูกปลอมแปลงเพื่อแอบอ้างเป็นตำรวจหรือหน่วยงานบังคับใช้กฎหมาย^{[ 116 ]}
การก่อกวนการโทรแจ้งตำรวจ (Swatting ): มิจฉาชีพติดต่อผู้บริโภคด้วยการแจ้งหนี้ปลอมและขู่ว่าจะส่งตำรวจ เมื่อเหยื่อไม่ยอม มิจฉาชีพจะโทรไปยังหมายเลขตำรวจท้องถิ่นจำนวนมาก โดยปลอมแปลงหมายเลขผู้โทรให้แสดงเป็นหมายเลขของเหยื่อ ตำรวจจะเดินทางไปยังบ้านของเหยื่อในไม่ช้าเพื่อพยายามหาที่มาของการโทรเหล่านั้น

การโจมตีแบบ TDoS สามารถเกิดขึ้นได้แม้ไม่มีการโทรผ่านอินเทอร์เน็ตในกรณีอื้อฉาวการรบกวนสัญญาณโทรศัพท์ในการเลือกตั้งวุฒิสภาที่รัฐนิวแฮมป์เชอร์ปี 2002 พนักงานขายทางโทรศัพท์ถูกใช้เพื่อโทรไปยังฝ่ายตรงข้ามทางการเมืองเป็นจำนวนมากเพื่อรบกวนการทำงานของศูนย์รับโทรศัพท์ในวันเลือกตั้ง การเผยแพร่หมายเลขโทรศัพท์อย่างกว้างขวางยังสามารถทำให้หมายเลขนั้นถูกโทรเข้ามาจนใช้งานไม่ได้ ดังเช่นที่เกิดขึ้นโดยบังเอิญในปี 1981 กับ ผู้ใช้ หมายเลขโทรศัพท์ที่มีรหัสพื้นที่ +1- -867-5309 จำนวนมากที่ถูกโทรเข้ามาหลายร้อยสายต่อวันเพื่อตอบสนองต่อเพลง " 867-5309/Jenny " การโจมตีแบบ TDoS แตกต่างจากการก่อกวนทางโทรศัพท์ ประเภทอื่น (เช่นการโทรแกล้งและการโทรลามกอนาจาร ) ตรงจำนวนการโทรที่ส่งออกไป การโทรอัตโนมัติซ้ำๆ อย่างต่อเนื่องจะทำให้เหยื่อไม่สามารถโทรออกหรือรับสายได้ทั้งในเรื่องปกติและเรื่องฉุกเฉิน การโจมตีที่เกี่ยวข้อง ได้แก่ การโจมตีด้วยการส่งข้อความ SMS จำนวนมาก และแฟกซ์ดำหรือการส่งแฟกซ์อย่างต่อเนื่องโดยใช้กระดาษม้วนที่ผู้ส่ง

การโจมตีเนื่องจากการหมดอายุของ TTL

การทิ้งแพ็กเก็ตที่มี ค่า TTLเท่ากับ 1 หรือน้อยกว่านั้น ต้องใช้ทรัพยากรเราเตอร์มากกว่าการส่งต่อแพ็กเก็ตที่มีค่า TTL สูงกว่า เมื่อแพ็กเก็ตถูกทิ้งเนื่องจาก TTL หมดอายุ CPU ของเราเตอร์ต้องสร้างและส่งการ ตอบสนอง ICMP เกินเวลาการสร้างการตอบสนองเหล่านี้จำนวนมากอาจทำให้ CPU ของเราเตอร์ทำงานหนักเกินไป^{[ 117 ]}

การโจมตี UPnP

การโจมตี UPnP ใช้ช่องโหว่ที่มีอยู่แล้วใน โปรโตคอล Universal Plug and Play (UPnP) เพื่อหลีกเลี่ยงความปลอดภัยของเครือข่ายและโจมตีเครือข่ายและเซิร์ฟเวอร์เป้าหมาย การโจมตีนี้ใช้เทคนิคการขยายสัญญาณ DNS แต่กลไกการโจมตีคือเราเตอร์ UPnP ที่ส่งต่อคำขอจากแหล่งภายนอกหนึ่งไปยังอีกแหล่งหนึ่ง เราเตอร์ UPnP จะส่งข้อมูลกลับมาทางพอร์ต UDP ที่ไม่คาดคิดจากที่อยู่ IP ปลอม ทำให้ยากต่อการดำเนินการง่ายๆ เพื่อหยุดการโจมตี ตามที่ นักวิจัย ของ Imperva กล่าว วิธีที่มีประสิทธิภาพที่สุดในการหยุดการโจมตีนี้คือการที่บริษัทต่างๆ ต้องล็อกเราเตอร์ UPnP ^{[ 118 ]}^{[ 119 ]}

การโจมตีสะท้อน SSDP

ในปี 2557 มีการค้นพบว่าSimple Service Discovery Protocol (SSDP) ถูกนำมาใช้ใน การโจมตี DDoSที่เรียกว่าSSDP reflection attack with amplificationอุปกรณ์หลายชนิด รวมถึงเราเตอร์บ้านบางรุ่น มีช่องโหว่ในซอฟต์แวร์ UPnP ที่อนุญาตให้ผู้โจมตีรับการตอบกลับจากพอร์ต UDP 1900ไปยังที่อยู่ปลายทางที่เลือกได้ ด้วยบอทเน็ตที่มีอุปกรณ์หลายพันเครื่อง ผู้โจมตีสามารถสร้างอัตราการส่งแพ็กเก็ตและใช้แบนด์วิดท์มากพอที่จะทำให้ลิงก์เต็ม ส่งผลให้เกิดการปฏิเสธการให้บริการ^{[ 120 ]}^{[ 121 ]}^{[ 122 ]}เนื่องจากจุดอ่อนนี้ บริษัทเครือข่ายCloudflareจึงเรียก SSDP ว่า "Stupidly Simple DDoS Protocol" ^{[ 122 ]}

การปลอมแปลง ARP

การปลอมแปลง ARPเป็นการโจมตีแบบ DoS ที่พบบ่อย ซึ่งเกี่ยวข้องกับช่องโหว่ในโปรโตคอล ARP ที่อนุญาตให้ผู้โจมตีเชื่อมโยงที่อยู่ MAC ของตน กับที่อยู่ IP ของคอมพิวเตอร์หรือเกตเวย์ อื่น ทำให้การรับส่งข้อมูลที่ตั้งใจไปยัง IP ดั้งเดิมที่ถูกต้องถูกเปลี่ยนเส้นทางไปยัง IP ของผู้โจมตี ส่งผลให้เกิดการปฏิเสธการให้บริการ

เทคนิคการป้องกัน

การตอบสนองเชิงป้องกันต่อการโจมตีแบบปฏิเสธการให้บริการโดยทั่วไปเกี่ยวข้องกับการใช้เครื่องมือตรวจจับการโจมตี การจำแนกประเภทการจราจร และการตอบสนองร่วมกัน โดยมีเป้าหมายเพื่อบล็อกการจราจรที่เครื่องมือระบุว่าไม่ถูกต้องตามกฎหมาย และอนุญาตให้การจราจรที่เครื่องมือระบุว่าถูกต้องตามกฎหมายผ่านไปได้^{[ 123 ]}รายการเครื่องมือตอบสนองมีดังต่อไปนี้

การกรองต้นทาง

การรับส่งข้อมูลทั้งหมดที่มุ่งไปยังเหยื่อจะถูกเปลี่ยนเส้นทางให้ผ่านศูนย์ทำความสะอาดหรือศูนย์กำจัดข้อมูลโดยใช้วิธีต่างๆ เช่น การเปลี่ยนที่อยู่ IP ของเหยื่อในระบบ DNS วิธีการสร้างอุโมงค์ (GRE/VRF, MPLS, SDN) ^{[ 124 ]}พร็อกซี การเชื่อมต่อแบบดิจิทัล หรือแม้แต่การเชื่อมต่อโดยตรง ศูนย์ทำความสะอาดจะแยก การรับส่งข้อมูล ที่ไม่ดี (DDoS และการโจมตีทางอินเทอร์เน็ตทั่วไปอื่นๆ) และส่งเฉพาะการรับส่งข้อมูลที่ถูกต้องไปยังเซิร์ฟเวอร์ของเหยื่อ^{[ 125 ]}เหยื่อจำเป็นต้องมีการเชื่อมต่อส่วนกลางกับอินเทอร์เน็ตเพื่อใช้บริการประเภทนี้ เว้นแต่ว่าพวกเขาจะอยู่ในสถานที่เดียวกันกับศูนย์ทำความสะอาด การโจมตี DDoS สามารถทำให้ไฟร์วอลล์ฮาร์ดแวร์ทุกประเภททำงานหนักเกินไป และการส่งการรับส่งข้อมูลที่เป็นอันตรายผ่านเครือข่ายขนาดใหญ่และที่พัฒนาแล้วจะยิ่งมีประสิทธิภาพและยั่งยืนทางเศรษฐกิจมากขึ้นเรื่อยๆ ในการต่อต้าน DDoS ^{[ 126 ]}

ฮาร์ดแวร์ส่วนหน้าของแอปพลิเคชัน

ฮาร์ดแวร์ส่วนหน้าของแอปพลิเคชัน (Application front-end hardware) คือฮาร์ดแวร์อัจฉริยะที่ติดตั้งบนเครือข่ายก่อนที่ข้อมูลจะไปถึงเซิร์ฟเวอร์ สามารถใช้งานร่วมกับเราเตอร์และสวิตช์ ในเครือข่าย และเป็นส่วนหนึ่งของการจัดการแบนด์วิดท์ฮาร์ดแวร์ส่วนหน้าของแอปพลิเคชันจะวิเคราะห์แพ็กเก็ตข้อมูลขณะที่เข้าสู่เครือข่าย และระบุและกำจัดข้อมูลที่อันตรายหรือน่าสงสัย

ตัวชี้วัดความสำเร็จที่สำคัญระดับแอปพลิเคชัน

แนวทางการตรวจจับการโจมตี DDoS ต่อแอปพลิเคชันบนคลาวด์อาจขึ้นอยู่กับการวิเคราะห์เลเยอร์แอปพลิเคชัน ซึ่งบ่งชี้ว่าการรับส่งข้อมูลจำนวนมากที่เข้ามานั้นถูกต้องตามกฎหมายหรือไม่^{[ 127 ]}แนวทางเหล่านี้ส่วนใหญ่อาศัยเส้นทางที่มีคุณค่าที่ระบุภายในแอปพลิเคชันและตรวจสอบความคืบหน้าของคำขอในเส้นทางนี้ผ่านตัวบ่งชี้ที่เรียกว่าตัวบ่งชี้ความสำเร็จหลัก^{[ 128}^]โดย^{พื้นฐาน}แล้ว เทคนิคเหล่านี้เป็นวิธีการทางสถิติในการประเมินพฤติกรรมของคำขอที่เข้ามาเพื่อตรวจจับว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ เปรียบเทียบได้กับห้างสรรพสินค้าแบบดั้งเดิมที่ลูกค้าใช้เวลาโดยเฉลี่ยเป็นเปอร์เซ็นต์ที่ทราบในการทำกิจกรรมต่างๆ เช่น หยิบสินค้าและตรวจสอบสินค้า วางสินค้ากลับเข้าที่ เติมตะกร้า รอชำระเงิน ชำระเงิน และออกจากร้าน หากกลุ่มลูกค้าจำนวนมากเข้ามาในร้านและใช้เวลาทั้งหมดในการหยิบสินค้าและวางสินค้ากลับเข้าที่ แต่ไม่เคยซื้อสินค้าใดๆ เลย นี่อาจถูกระบุว่าเป็นพฤติกรรมที่ผิดปกติ

หลุมดำและหลุมยุบ

ด้วยการกำหนดเส้นทางแบบแบล็กโฮลการรับส่งข้อมูลทั้งหมดไปยัง DNS หรือที่อยู่ IP ที่ถูกโจมตีจะถูกส่งไปยังแบล็กโฮล (อินเทอร์เฟซว่างเปล่าหรือเซิร์ฟเวอร์ที่ไม่มีอยู่จริง) เพื่อให้มีประสิทธิภาพมากขึ้นและหลีกเลี่ยงผลกระทบต่อการเชื่อมต่อเครือข่าย ISP สามารถจัดการได้^{[ 129 ]}ซิงค์โฮล DNSจะส่งการรับส่งข้อมูลไปยังที่อยู่ IP ที่ถูกต้อง ซึ่งจะวิเคราะห์การรับส่งข้อมูลและปฏิเสธแพ็กเก็ตที่ไม่ดี การใช้ซิงค์โฮลอาจไม่มีประสิทธิภาพสำหรับการโจมตีที่รุนแรง

การป้องกันตาม IPS

ระบบป้องกันการบุกรุก (IPS) จะมีประสิทธิภาพหากการโจมตีมีลายเซ็นที่เกี่ยวข้อง อย่างไรก็ตาม แนวโน้มของการโจมตีคือการมีเนื้อหาที่ถูกต้องตามกฎหมายแต่มีเจตนาร้าย ระบบป้องกันการบุกรุกที่ทำงานบนการจดจำเนื้อหาไม่สามารถบล็อกการโจมตี DoS ที่อิงตามพฤติกรรมได้^{[ 53 ]} IPS ที่ใช้ ASICอาจตรวจจับและบล็อกการโจมตีแบบปฏิเสธการให้บริการได้ เนื่องจากมีกำลังการประมวลผลและความละเอียดในการวิเคราะห์การโจมตีและทำหน้าที่เหมือนตัวตัดวงจรโดยอัตโนมัติ^{[ 53 ]}

การป้องกันตาม DDS

ระบบป้องกัน DoS (DDS) มุ่งเน้นที่ปัญหามากกว่า IPS โดยสามารถบล็อกการโจมตี DoS ที่ใช้การเชื่อมต่อและการโจมตีที่มีเนื้อหาถูกต้องตามกฎหมายแต่มีเจตนาร้ายได้ นอกจากนี้ DDS ยังสามารถจัดการกับการโจมตีโปรโตคอล (เช่น teardrop และ ping of death) และการโจมตีตามอัตรา (เช่น ICMP floods และ SYN floods) ได้อีกด้วย DDS มีระบบที่สร้างขึ้นมาโดยเฉพาะซึ่งสามารถระบุและขัดขวางการโจมตีแบบปฏิเสธการให้บริการได้ง่ายกว่าและเร็วกว่าระบบที่ใช้ซอฟต์แวร์^{[ 130 ]}

ไฟร์วอลล์

ในกรณีของการโจมตีแบบง่ายๆไฟร์วอลล์สามารถปรับเพื่อปฏิเสธการรับส่งข้อมูลขาเข้าทั้งหมดจากผู้โจมตีได้ โดยอิงตามโปรโตคอล พอร์ต หรือที่อยู่ IP ต้นทาง อย่างไรก็ตาม การโจมตีที่ซับซ้อนกว่านั้นจะยากที่จะบล็อกด้วยกฎง่ายๆ ตัวอย่างเช่น หากมีการโจมตีพอร์ต 80 (เว็บเซอร์วิส) อย่างต่อเนื่อง จะไม่สามารถบล็อกการรับส่งข้อมูลขาเข้าทั้งหมดในพอร์ตนี้ได้ เพราะการทำเช่นนั้นจะทำให้เซิร์ฟเวอร์ไม่สามารถรับและให้บริการการรับส่งข้อมูลที่ถูกต้องได้^{[ 131 ]}นอกจากนี้ ไฟร์วอลล์อาจอยู่ลึกเกินไปในลำดับชั้นของเครือข่าย โดยเราเตอร์จะได้รับผลกระทบก่อนที่การรับส่งข้อมูลจะไปถึงไฟร์วอลล์ และเครื่องมือรักษาความปลอดภัยหลายอย่างยังไม่รองรับ IPv6 หรืออาจไม่ได้กำหนดค่าอย่างถูกต้อง ดังนั้นไฟร์วอลล์อาจถูกข้ามไปได้ในระหว่างการโจมตี^{[ 132 ]}

เราเตอร์

เช่นเดียวกับสวิตช์ เราเตอร์ก็มีความสามารถในการจำกัดอัตราและACLเช่นกัน ซึ่งสามารถตั้งค่าได้ด้วยตนเอง เราเตอร์ส่วนใหญ่สามารถถูกโจมตี DoS ได้อย่างง่ายดาย Nokia SR-OS ที่ใช้โปรเซสเซอร์ FP4 หรือ FP5 มีระบบป้องกัน DDoS ^{[ 133 ]} Nokia SR-OS ยังใช้ Nokia Deepfield Defender ที่ใช้การวิเคราะห์ข้อมูลขนาดใหญ่เพื่อป้องกัน DDoS ^{[ 134 ]} Cisco IOSมีคุณสมบัติเสริมที่สามารถลดผลกระทบของการโจมตีแบบ flooding ได้^{[ 135 ]}

สวิตช์

สวิตช์ส่วนใหญ่มีฟังก์ชันการจำกัดอัตราและACL สวิตช์บางตัวมีฟังก์ชัน การจำกัดอัตราอัตโนมัติหรือทั่วทั้งระบบการจัดรูปแบบการรับส่งข้อมูล การผูกแบบหน่วงเวลา ( การต่อเชื่อม TCP ) การตรวจสอบแพ็ก เก็ ต เชิงลึกและการกรองโบกอน (การกรอง IP ปลอม) เพื่อตรวจจับและแก้ไขการโจมตี DoS ผ่านการกรองอัตราอัตโนมัติและการสลับการทำงานและการปรับสมดุลลิงก์ WAN กลไกเหล่านี้จะทำงานได้ตราบใดที่สามารถป้องกันการโจมตี DoS ได้โดยใช้กลไกเหล่านี้ ตัวอย่างเช่น การโจมตี SYN flood สามารถป้องกันได้โดยใช้การผูกแบบหน่วงเวลาหรือการต่อเชื่อม TCP ในทำนองเดียวกัน การโจมตี DoS ที่อิงตามเนื้อหาอาจป้องกันได้โดยใช้การตรวจสอบแพ็กเก็ตเชิงลึก การโจมตีโดยใช้แพ็กเก็ต Martianสามารถป้องกันได้โดยใช้การกรองโบกอน การกรองอัตราอัตโนมัติสามารถทำงานได้ตราบใดที่ได้ตั้งค่าเกณฑ์อัตราไว้อย่างถูกต้อง การสลับการทำงานลิงก์ WAN จะทำงานได้ตราบใดที่ลิงก์ทั้งสองมีกลไกการป้องกัน DoS ^{[ 53 ]}

การปิดกั้นพอร์ตที่เสี่ยงต่อการถูกโจมตี

ภัยคุกคามอาจเกี่ยวข้องกับหมายเลขพอร์ต TCP หรือ UDP ที่เฉพาะเจาะจง การบล็อกพอร์ตเหล่านี้ที่ไฟร์วอลล์สามารถลดการโจมตีได้ ตัวอย่างเช่น ในการโจมตีแบบสะท้อน SSDP มาตรการบรรเทาที่สำคัญคือการบล็อกทราฟฟิก UDP ขาเข้าบนพอร์ต 1900 ^{[ 136 ]}

การบล็อกโดยอิงตาม TTL

การบล็อก ค่า Time to live (TTL) เฉพาะตามความยาวของเส้นทางเครือข่ายอาจเป็นตัวเลือกที่เหมาะสมสำหรับการบล็อกการโจมตีปลอมแปลง^{[ 137 ]}

การปฏิเสธการให้บริการโดยไม่ตั้งใจ

การปฏิเสธการให้บริการโดยไม่ตั้งใจสามารถเกิดขึ้นได้เมื่อระบบถูกปฏิเสธ ไม่ใช่เนื่องจากการโจมตีโดยเจตนาโดยบุคคลหรือกลุ่มบุคคลเพียงคนเดียว แต่เป็นเพราะความนิยมที่เพิ่มขึ้นอย่างกะทันหันและมหาศาล ตัวอย่างเช่น อาจเกิดขึ้นเมื่อเว็บไซต์ยอดนิยมโพสต์ลิงก์ที่โดดเด่นไปยังเว็บไซต์ที่สองซึ่งเตรียมตัวมาไม่ดีเท่า ในส่วนหนึ่งของข่าว ผลที่ได้คือผู้ใช้ประจำของเว็บไซต์หลักจำนวนมาก – อาจมากถึงหลายแสนคน – คลิกลิงก์นั้นภายในเวลาไม่กี่ชั่วโมง ซึ่งมีผลกระทบต่อเว็บไซต์เป้าหมายเช่นเดียวกับการโจมตี DDoS VIPDoS ก็เช่นเดียวกัน แต่เกิดขึ้นเฉพาะเมื่อลิงก์นั้นถูกโพสต์โดยบุคคลที่มีชื่อเสียง เมื่อไมเคิล แจ็กสันเสียชีวิตในปี 2009 เว็บไซต์ต่างๆ เช่น Google และ Twitter ก็ทำงานช้าลงหรือถึงกับล่ม^{[ 138 ]}เซิร์ฟเวอร์ของเว็บไซต์หลายแห่งคิดว่าคำขอเหล่านั้นมาจากไวรัสหรือสปายแวร์ที่พยายามก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ โดยเตือนผู้ใช้ว่าคำขอของพวกเขามีลักษณะเหมือน "คำขออัตโนมัติจากไวรัสคอมพิวเตอร์หรือแอปพลิเคชันสปายแวร์" ^{[ 139 ]}

เว็บไซต์ข่าวและเว็บไซต์ลิงก์ – เว็บไซต์ที่มีหน้าที่หลักในการให้ลิงก์ไปยังเนื้อหาที่น่าสนใจอื่นๆ บนอินเทอร์เน็ต – มีแนวโน้มที่จะทำให้เกิดปรากฏการณ์นี้มากที่สุด ตัวอย่างที่ชัดเจนคือปรากฏการณ์ Slashdotเมื่อได้รับปริมาณการเข้าชมจากSlashdotเรียกอีกอย่างว่า " การกอดแห่งความตายของ Reddit " ^{[ 140 ]}และ " ปรากฏการณ์ Digg " ^{[ 141 ]}

การปฏิเสธการให้บริการโดยไม่ได้ตั้งใจในลักษณะเดียวกันนี้ยังสามารถเกิดขึ้นได้ผ่านสื่ออื่นๆ เช่น เมื่อมีการกล่าวถึง URL ในโทรทัศน์ ในเดือนมีนาคม พ.ศ. 2557 หลังจากเครื่องบินมาเลเซียแอร์ไลน์เที่ยวบินที่ 370หายไปDigitalGlobeได้เปิด ตัวบริการ crowdsourcingซึ่งผู้ใช้สามารถช่วยค้นหาเครื่องบินที่หายไปในภาพถ่ายดาวเทียมได้ การตอบรับดังกล่าวทำให้เซิร์ฟเวอร์ของบริษัททำงานหนักเกินไป^{[ 142 ]}การปฏิเสธการให้บริการโดยไม่ได้ตั้งใจอาจเกิดขึ้นจากเหตุการณ์ที่กำหนดไว้ล่วงหน้าซึ่งสร้างขึ้นโดยเว็บไซต์เอง เช่นเดียวกับกรณีของสำมะโนประชากรในออสเตรเลียในปี พ.ศ. 2559 ^{[ 143 ]}

มีการดำเนินคดีทางกฎหมายอย่างน้อยหนึ่งกรณีในลักษณะนี้ ในปี 2549 บริษัท Universal Tube & Rollform Equipment Corporationฟ้องYouTubeเนื่องจากผู้ใช้ YouTube.com จำนวนมากพิมพ์ URL ของบริษัทท่อโดยไม่ได้ตั้งใจ คือ utube.com ส่งผลให้บริษัทท่อต้องใช้เงินจำนวนมากในการอัปเกรดแบนด์วิดท์^{[ 144 ]}

เราเตอร์ยังเป็นที่รู้จักว่าก่อให้เกิดการโจมตี DoS โดยไม่ตั้งใจ เนื่องจาก เราเตอร์ของ D-LinkและNetgear ^{[ 145 ]} ต่างก็ ทำให้เซิร์ฟเวอร์ NTP โอเวอร์โหลดโดยการส่งข้อมูลจำนวนมากไปยังเซิร์ฟเวอร์โดยไม่คำนึงถึงข้อจำกัดของประเภทไคลเอ็นต์หรือข้อจำกัดทางภูมิศาสตร์

ผลข้างเคียงของการโจมตี

การกระเจิงย้อนกลับ

ในด้านความปลอดภัยเครือข่ายคอมพิวเตอร์ แบ็กสแคตเตอร์เป็นผลข้างเคียงของการโจมตีแบบปฏิเสธการให้บริการที่ปลอมแปลงขึ้น ในการโจมตีประเภทนี้ ผู้โจมตีจะปลอมแปลงที่อยู่ต้นทางในแพ็กเก็ต IPที่ส่งไปยังเหยื่อ โดยทั่วไปแล้ว เครื่องของเหยื่อไม่สามารถแยกแยะระหว่างแพ็กเก็ตที่ปลอมแปลงขึ้นกับแพ็กเก็ตที่ถูกต้องได้ ดังนั้นเหยื่อจึงตอบสนองต่อแพ็กเก็ตที่ปลอมแปลงขึ้นตามปกติ แพ็กเก็ตตอบสนองเหล่านี้เรียกว่าแบ็กสแคตเตอร์^{[ 146 ]}

หากผู้โจมตีปลอมแปลงที่อยู่ต้นทางแบบสุ่ม แพ็กเก็ตตอบกลับจากเหยื่อจะถูกส่งกลับไปยังปลายทางแบบสุ่ม ผลกระทบนี้สามารถนำมาใช้เป็นหลักฐานทางอ้อมของการโจมตีดัง กล่าวโดย เครื่องมือตรวจสอบเครือข่ายได้ คำว่า การวิเคราะห์การสะท้อนกลับ (backscatter analysis)หมายถึงการสังเกตแพ็กเก็ตสะท้อนกลับที่มาถึงส่วนที่มีนัยสำคัญทางสถิติของพื้นที่ที่อยู่ IP เพื่อกำหนดลักษณะของการโจมตี DoS และเหยื่อ

กฎหมาย

เขตอำนาจศาลหลายแห่งมีกฎหมายที่การโจมตีแบบปฏิเสธการให้บริการเป็นสิ่งผิดกฎหมายUNCTADชี้ให้เห็นว่า 156 ประเทศ หรือ 80% ทั่วโลก ได้ออก กฎหมาย อาชญากรรมไซเบอร์เพื่อต่อสู้กับผลกระทบที่แพร่หลาย อัตราการนำไปใช้แตกต่างกันไปตามภูมิภาค โดยยุโรปอยู่ที่ 91% และแอฟริกาอยู่ที่ 72% ^{[ 148 ]}

ในสหรัฐอเมริกา การโจมตีแบบปฏิเสธการให้บริการอาจถือเป็นอาชญากรรมของรัฐบาลกลางภายใต้พระราชบัญญัติการฉ้อโกงและการใช้คอมพิวเตอร์ ในทางที่ผิด โดยมีบทลงโทษรวมถึงการจำคุกหลายปี^{[ 149 ]}แผนกอาชญากรรมคอมพิวเตอร์และทรัพย์สินทางปัญญาของกระทรวงยุติธรรมสหรัฐฯรับผิดชอบคดี DoS และ DDoS ตัวอย่างเช่น ในเดือนกรกฎาคม 2019 ออสติน ทอมป์สัน หรือที่ รู้จักกันในชื่อ DerpTrollingถูกศาลรัฐบาลกลางตัดสินจำคุก 27 เดือนและชดใช้ค่าเสียหาย 95,000 ดอลลาร์ ในข้อหาโจมตี DDoS หลายครั้งต่อบริษัทเกมวิดีโอรายใหญ่ ทำให้ระบบของพวกเขาหยุดชะงักเป็นเวลาหลายชั่วโมงถึงหลายวัน^{[ 150 ]}^{[ 151 ]}

ในประเทศยุโรป การกระทำการโจมตีแบบปฏิเสธการให้บริการที่เป็นอาชญากรรมอาจนำไปสู่การจับกุมอย่างน้อยที่สุด^{[ 152 ]}สหราชอาณาจักรเป็นประเทศที่แตกต่างออกไป เนื่องจากได้ออกกฎหมายห้ามการโจมตีแบบปฏิเสธการให้บริการโดยเฉพาะ และกำหนดโทษจำคุกสูงสุด 10 ปี ตามพระราชบัญญัติตำรวจและยุติธรรม พ.ศ. 2549ซึ่งแก้ไขมาตรา 3 ของพระราชบัญญัติการใช้คอมพิวเตอร์ในทางที่ผิด พ.ศ. 2533 ^{[ 153 ]}

ในเดือนมกราคม 2019 ยูโรโพลประกาศว่า "ขณะนี้กำลังดำเนินการทั่วโลกเพื่อติดตามผู้ใช้" ของ Webstresser.org ซึ่งเป็นตลาดซื้อขาย DDoS เดิมที่ถูกปิดตัวลงในเดือนเมษายน 2018 ซึ่งเป็นส่วนหนึ่งของปฏิบัติการ PowerOFF [ ^{154 ] ยูโร}โพลกล่าวว่าตำรวจสหราชอาณาจักรกำลังดำเนินการ "ปฏิบัติการจริง" หลายครั้งโดยมุ่งเป้าไปที่ผู้ใช้ Webstresser และบริการ DDoS อื่นๆ มากกว่า 250 ราย^{[ 155 ]}

เมื่อวันที่ 7 มกราคม 2556 กลุ่ม Anonymousได้โพสต์คำร้องบน เว็บไซต์ whitehouse.govโดยขอให้ยอมรับ DDoS เป็นรูปแบบการประท้วงที่ถูกกฎหมายเช่นเดียวกับการเคลื่อนไหว Occupyโดยอ้างว่าจุดประสงค์ของทั้งสองมีความคล้ายคลึงกัน^{[ 156 ]}

ดูเพิ่มเติม

BASHLITE – มัลแวร์คอมพิวเตอร์ปี 2014
การโจมตีด้วยเสียงหัวเราะนับพันล้าน – การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service attack) ต่อตัวแยกวิเคราะห์ XML โดยใช้ประโยชน์จากการขยายเอนทิตี (entity expansion)
Blaster (เวิร์มคอมพิวเตอร์) – เวิร์มคอมพิวเตอร์สำหรับระบบปฏิบัติการ Windows ปี 2003
การโจมตีแบบ Clear channel assessment – การโจมตีแบบปฏิเสธการให้บริการต่อเครือข่าย Wi-Fi
Dendroid (มัลแวร์) – มัลแวร์ที่เขียนขึ้นสำหรับระบบปฏิบัติการ Android
การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (Distributed denial-of-service attacks) ต่อเนมเซิร์ฟเวอร์หลัก – ประเภทของการโจมตีทางไซเบอร์
DNS Flood – การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service attack) ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ DNS
การโจมตีแบบ DDoS แล้วหนี – รูปแบบหนึ่งของการโจมตีทางไซเบอร์แบบปฏิเสธการให้บริการ
การจารกรรมทางอุตสาหกรรม – การขโมยข้อมูลขององค์กร
ลูปอนันต์ – สำนวนการเขียนโปรแกรม
ระบบตรวจจับการบุกรุก – อุปกรณ์หรือซอฟต์แวร์ป้องกันเครือข่าย
Killer poke – วิธีการทางซอฟต์แวร์ที่ทำให้ฮาร์ดแวร์คอมพิวเตอร์เสียหาย
แผ่นเจาะรูสำหรับใส่เชือก – แผ่นเจาะรูที่มีรูเจาะครบทุกรู
การโจมตีแบบผสมผสานภัยคุกคาม – ประเภทหนึ่งของการแฮ็กคอมพิวเตอร์
ระบบตรวจจับการบุกรุกเครือข่าย – อุปกรณ์หรือซอฟต์แวร์ป้องกันเครือข่าย
การโจมตีทางไซเบอร์ Dyn ปี 2016 – การโจมตีทางไซเบอร์ในยุโรปและอเมริกาเหนือในปี 2016
การก่อการร้ายทางเอกสาร – การใช้เอกสารทางกฎหมายปลอมเป็นวิธีการก่อกวน
Project Shield – บริการป้องกันการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (anti-DDoS)
ReDoS – การโจมตีแบบปฏิเสธการให้บริการโดยใช้ Regular expression
การโจมตีโดยใช้ทรัพยากรจนหมด – ช่องโหว่ด้านความปลอดภัยของคอมพิวเตอร์
การนั่งประท้วงเสมือนจริง – เทคนิคการไม่เชื่อฟังทางพลเรือนทางออนไลน์
เว็บเชลล์ – อินเทอร์เฟซที่ช่วยให้สามารถเข้าถึงเว็บเซิร์ฟเวอร์จากระยะไกลได้
การรบกวนสัญญาณวิทยุ – การแทรกแซงการสื่อสารไร้สายที่ได้รับอนุญาต
Xor DDoS – มัลแวร์โทรจันสำหรับ Linux ที่มีคุณสมบัติรูทคิต
Zemra – บอทโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service bot) ที่ถูกค้นพบในปี 2012
ไฟล์ Zip bomb – ไฟล์บีบอัดที่เป็นอันตรายซึ่งออกแบบมาเพื่อก่อกวนโปรแกรมหรือระบบที่กำลังอ่านไฟล์นั้น

หมายเหตุ

^ ในระบบ Windowsตัวเลือก -tมีความสามารถในการโจมตีเป้าหมายได้น้อยกว่ามาก และตัวเลือก -l (ขนาด) ก็ไม่อนุญาตให้ส่งแพ็กเก็ตที่มีขนาดเกิน 65500 ใน Windows ด้วย
^แม้ว่าในเดือนกันยายน พ.ศ. 2552 ช่องโหว่ใน Windows Vistaจะถูกเรียกว่าการโจมตีแบบหยดน้ำตาแต่การโจมตีนี้มุ่งเป้าไปที่ SMB2ซึ่งเป็นเลเยอร์ที่สูงกว่าแพ็กเก็ต TCP ที่การโจมตีแบบหยดน้ำตาใช้^{[ 112 ]}^{[ 113 ]}

อ่านเพิ่มเติม

อีธาน ซัคเคอร์แมน; ฮาล โรเบิร์ตส์; ไรอัน แมคเกรดี; จิลเลียน ยอร์ค; จอห์น พาลเฟรย์ (ธันวาคม 2011). "การโจมตีแบบปฏิเสธการให้บริการแบบกระจายต่อสื่ออิสระและเว็บไซต์สิทธิมนุษยชน" (PDF) . ศูนย์เบิร์กแมนเพื่ออินเทอร์เน็ตและสังคม มหาวิทยาลัยฮาร์วาร์ด. เก็บถาวรจากต้นฉบับ(PDF)เมื่อวันที่ 26 กุมภาพันธ์ 2011. สืบค้นเมื่อ2 มีนาคม 2011 .
PC World - การโจมตี DDoS ระดับแอปพลิเคชันกำลังมีความซับซ้อนมากขึ้นเรื่อยๆ

ลิงก์ภายนอก

RFC 4732ข้อควรพิจารณาเกี่ยวกับการโจมตีแบบปฏิเสธการให้บริการทางอินเทอร์เน็ต
W3C คำถามที่พบบ่อยเกี่ยวกับการรักษาความปลอดภัยบนเว็บทั่วโลก - การป้องกันการโจมตีแบบปฏิเสธการให้บริการ (Denial of Service attacks)
คู่มือของ CERT เกี่ยวกับการโจมตีแบบ DoSที่Wayback Machine (เก็บถาวรเมื่อ 09 พฤศจิกายน 2008) (เอกสารเก่าแก่)

[82] ในระบบ Windowsตัวเลือก -tมีความสามารถในการโจมตีเป้าหมายได้น้อยกว่ามาก และตัวเลือก -l (ขนาด) ก็ไม่อนุญาตให้ส่งแพ็กเก็ตที่มีขนาดเกิน 65500 ใน Windows ด้วย

[115] แม้ว่าในเดือนกันยายน พ.ศ. 2552 ช่องโหว่ใน Windows Vistaจะถูกเรียกว่าการโจมตีแบบหยดน้ำตาแต่การโจมตีนี้มุ่งเป้าไปที่ SMB2ซึ่งเป็นเลเยอร์ที่สูงกว่าแพ็กเก็ต TCP ที่การโจมตีแบบหยดน้ำตาใช้^{[ 112 ]}^{[ 113 ]}

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

7

[

[

[ 11 ]

[ 12 ]

13 ] ใน

[ 14 ]

[ 15 ]

[ 17 ]

[ 18 ]

[ 19 ]

20 ] ใน

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

29 ] ตาม

[ 30 ]

[ 31 ]

32 ] [

33 ] การ

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

72 ] ผู้เชี่ยวชาญ

[ 73 ]

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

[ 78 ]

[ 79 ]

[ 80 ]

[ 81 ]

[ a ]

[ 82 ]

[ 84 ]

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ 89 ]

[ 90 ]

[ 91 ]

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]

[ 96 ]

[ 97 ]

[ 98 ]

[ 99 ]

[ 100 ]

[ 101 ]

[ 102 ]

[ 103 ]

การโจมตีแบบปฏิเสธการให้บริการ

ประวัติศาสตร์

ประเภท

การโจมตีแบบ DoS แบบกระจาย

โยโย่โจมตี

การโจมตีระดับแอปพลิเคชัน

วิธีการโจมตี

การโจมตี DoS ขั้นสูงแบบถาวร

การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-service)

การโจมตีแบบปฏิเสธการให้บริการที่ปรับแต่งด้วยมาร์คอฟ

อาการ

เทคนิคการโจมตี

เครื่องมือโจมตี

การโจมตีระดับแอปพลิเคชัน

การโจมตีที่ทำให้คุณภาพการให้บริการลดลง

การโจมตี DoS แบบกระจาย

การขู่กรรโชกด้วย DDoS

การโจมตี DoS แบบ HTTP ช้า POST

การโจมตี Challenge Collapsar (CC)

การโจมตีแบบกระจายของโปรโตคอลควบคุมข้อความอินเทอร์เน็ต (ICMP)

นิวเคลียร์

การโจมตีแบบ Peer-to-peer

การโจมตีแบบปฏิเสธการให้บริการถาวร

การโจมตีสะท้อนกลับ

การขยายสัญญาณ

บอทเน็ตมิไร

RU-Dead-Yet? (RUDY)

แซ็ค แพนิค

การโจมตีของหนูชรูว์

การโจมตีแบบอ่านช้า

การโจมตีแบบปฏิเสธการให้บริการแบบกระจายที่ซับซ้อนและใช้แบนด์วิดท์ต่ำ

น้ำท่วม SYN

การโจมตีแบบหยดน้ำตา

การปฏิเสธการให้บริการทางโทรศัพท์

การโจมตีเนื่องจากการหมดอายุของ TTL

การโจมตี UPnP

การโจมตีสะท้อน SSDP

การปลอมแปลง ARP

เทคนิคการป้องกัน

การกรองต้นทาง

ฮาร์ดแวร์ส่วนหน้าของแอปพลิเคชัน

ตัวชี้วัดความสำเร็จที่สำคัญระดับแอปพลิเคชัน

หลุมดำและหลุมยุบ

การป้องกันตาม IPS

การป้องกันตาม DDS

ไฟร์วอลล์

เราเตอร์

สวิตช์

การปิดกั้นพอร์ตที่เสี่ยงต่อการถูกโจมตี

การบล็อกโดยอิงตาม TTL

การปฏิเสธการให้บริการโดยไม่ตั้งใจ

ผลข้างเคียงของการโจมตี

การกระเจิงย้อนกลับ

กฎหมาย

ดูเพิ่มเติม

หมายเหตุ

อ่านเพิ่มเติม

ลิงก์ภายนอก

ข้อมูลสำคัญจากบทความ