` 基于协议的DDoS攻击定义与分类 DDoS attack classification and definition based on protocolICS 33.040.40 CCS L79 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T ××××—×××× ××××-××-××发布 ××××-××-××实施 中华人民共和国工业和信息化部 发布YD/T ××××—×××× 1目 次 前 言 ...................................................................... 2 1 范围 ........................................................................ 3 2 规范性引用文件 .............................................................. 3 3 术语和定义 .................................................................. 3 4 缩略语 ...................................................................... 3 5 概述 ........................................................................ 4 6 DDoS攻击类型分类框架 ....................................................... 4 7 DDoS攻击定义描述 ........................................................... 5 8 对DDoS防护与检测设备的要求 ................................................. 7 附录A （资料性） 常见DDoS攻击类型 ........................................... 9 YD/T ××××—×××× 2 前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则 》 的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责 任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国移动通信集团有限公司，中国电信集团有限公司， 北京神州绿盟 科技有限公司，华为技术有限公司。 本文件主要起草人 ：粟栗，彭晋，魏来，刘紫千 ，陈美玲，冉鹏，杜海涛， 杨莉，常力 元，汤湘君，刘长波，张研。 YD/T ××××—×××× 3 基于协议的 DDoS攻击定义 与分类 1　范围 本文件基于网络协议类型 、按体系化架构对 DDoS攻击进行分类的框架定义 ，并对 DDoS 攻击的命名进行了标准化格式定义；并按统一的框架，归纳了业内常用的 DDoS攻击类型及 标准化命名 。通过定义 DDoS攻击分类框架与攻击类型的标准命名方式 ，规定了 DDoS攻击所 属类型及在告警中应进行上报的字段。 本文件适用于进行 DDoS攻击相关分析及处置的设备与系统。 2　规范性引用文件 本文件没有规范性引用文件。 3　术语和定义 下列术语和定义适用于本文件。 3.1　 DDoS攻击 DDoS attack 借助于客户 /服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标服 务器发动资源消耗攻击，导致目标服务器不能正常提供服务。 4　缩略语 下列缩略语适用于本文件。 Chargen 字符发生器协议 Character Generator Protocol DNS 域名系统 Domain Name System DDoS 分布式拒绝服务 Distributed Denial of Service FIN TCP结束标记 Finish HTTP 超文本传输协议 Hypertext Transfer Protocol HTTPS HTTP安全协议 HTTP over Secure Socket Layer ICMP 网间控制报文协议 Internet Control Messages Protocol YD/T ××××—×××× 4NTP 网络时间协议 Network Time Protocol RST TCP重置标记 Reset SIP 会话初始协议 Session Initiation Protocol SYN 同步序列编号 Synchronize Sequence Numbers SSDP 简单服务发现协议 Simple Service Discovery Protocol SNMP 简单网络管理协议 Simple Network Management Protocol TCP 传输控制协议 Transmission Control Protocol URI 统一资源标识符 Universal Resource Identifier UDP 用户数据报协议 User Datagram Protocol 5　概述 DDoS攻击是一类资源消耗型的攻击方式 ，该类型攻击利用大量攻击源 、使用标准协议 对目标对象进 行攻击；攻击消耗目标对象网络资源或服务器资源（包括计算能力、存储能力 等），从而使目标对象无法正常提供网络服务。与使用网络协议漏洞发起攻击（如 Ping of Death）、利用操作系统和 Web服务漏洞（ 如CVE漏洞）进行攻击不同， DDoS攻击构造的 是正常的网络协议数据包 ，但也可能利用一些攻击方法 （如分片 、反射放大等 ）增强攻击效 果。 由于现有的 抗拒绝服务攻击产品[1]中DDoS攻击类型定义不统一 ，对DDoS攻击检测与 防护设备 的测评、DDoS攻击的分析与处置形成了影响 。一是由于攻击类型定义不一致 ，导 致对 DDoS攻击检测与防护设备 的测试选型的能力判定存在困难或争议 ；二是若在一个网络 /系统中使用多个不同的抗 DDoS设备，则可能存在因为攻击定义不一致无法形成统一展现 、 难以联动处置的问题。 本文件旨在定义统一的 DDoS攻击类型 、形成分类框架 ，用于统一 DDoS攻击检测与防 护设备的告警类型；为统一评判设备能力、跨设备的互通与联动提供技术基础。 6　DDoS攻击类型分类框架 本章首先分析业内已有的 DDoS攻击定义，对攻击类型进行分析，并形成统一框架体 系。目前已有的 DDoS攻击类型定义分为多种维度，主要包括：  按利用的协议划分： 如SYN Flood、HTTP Flood、ICMP Flood等；  按攻击效果划分：带宽占用攻击、连接攻击、慢速攻击、域名劫持攻击等； YD/T ××××—×××× 5 按攻击的方法划分：分片攻击、异常报文攻击、反射放大攻击等；  按攻击的对象划分： DNS攻击、 WEB攻击等；  其他攻击类型：端口扫描攻击、 IP扫描攻击等。 在上述多类攻击的定义中，存在部分交叠的情况。 结合业内对已有 DDoS攻击的定义 ， 以协议层级对 DDoS攻击进行分类的共识程度最高。 本标准以 TCP/IP模型为分层依据， 构建 DDoS攻击的基本分类框架如下：  协议层级：网络层、传输层和应用层；  协议及消息：按攻击利用的协议进行划分（涉及到的常用协议为： ICMP、IP、 UDP、TCP、ICMP、HTTP、HTTPS、SIP、DNS、SSDP、NTP、Chargen、SNMP 等），再按协议内涉及的消息、端口进行定义；针对未形成共识、或未进行标准化 定义的攻击类型按照用户自定义（ Protocol+port ）格式标识；  攻击方法： 依据 DDoS攻击所使用的方法进行定义，例如： Flood、Fragment Flood、Reflection Attack等。 基于上述定义框架，对 DDoS攻击的类型形成树形定义架构，如图 1所示。 图1 DDoS攻击分类与定义架构图 7　DDoS攻击定义描述 针对攻击定义存在差异的问题 ，本标准基于攻击定义框架进行归纳梳理 ，并进行标准化DDoS攻击分类与定义架构 网络层 传输层 应用层 ICMP ... TCP UDP HTTP ... HTTPS SIP DNS ... F l o o dF r a g m e n t F l o o d. . .. . .F l o o d. . .F l o o dF r a g m e n t F l o o dF l o o dS l o w A t t a c kF l o o d. . .F l o o d. . .F l o o d. . .. . .. . .. . .. . .YD/T ××××—×××× 6格式定义如下。 DDoS攻击定义完整格式为 ：[协议层级