面向基礎設施的密集攻擊的常用攻擊手段有哪些

面向基礎設施的密集攻擊的常用攻擊手段有以下這些：

• 分布式鏈路洪泛攻擊：以往絕大部分DDoS攻擊的目標主要是針對互聯網上特定的服務器，關于此類攻擊的檢測和防御研究相對來說還是比較充分的。近年來，一類新的聲東擊西式的攻擊逐漸涌現，即面向鏈路的分布式洪泛攻擊，這類攻擊直接的目標是將某條或者某幾條精心選擇的關鍵鏈路帶寬耗盡，導致擁塞，但其真實目的還是要使通過這些關鍵鏈路連接的服務器（或者子網，甚至區域網絡或一個國家的網絡）無法向正常的互聯網用戶提供服務。

• 面向DNS的攻擊檢測：域名服務（DNS）是互聯網的關鍵基礎設施，是整個互聯網能夠正常運轉的基礎，如果DNS設施因為受攻擊而無法提供正常的服務可能將導致大量服務器的訪問受阻。因此，研究DNS如何抵御DDoS攻擊具有十分重要的理論和現實意義。DNS服務在DDoS攻擊中涉及兩類場景，一類是在反射放大式DDoS攻擊中，DNS服務器作為反射代理，攻擊者的攻擊目標并不是DNS服務器本身；另一類是直接將DNS服務作為攻擊對象，事實上，作為互聯網最基礎、最核心的服務，DNS服務作為DDoS攻擊的重要目標也是很自然的事情，打垮DNS服務能夠間接打垮一家公司的全部業務，甚至打垮一個國家或地區的網絡服務。針對DNS服務器的攻擊有多種，例如DNS查詢攻擊、DNS reply flood攻擊、DNS緩存投毒攻擊、DNS協議漏洞攻擊、Fast flux僵尸網絡等。

• 面向CDN的攻擊：CDN目前被廣泛應用于互聯網中，用來解決網站的性能、安全和可靠性等問題。更具體地講，CDN通過緩存網站內容提升網站性能；通過過濾惡意請求來提升網站安全性（Web應用防火墻，WAF）；并通過提供豐富的帶寬和計算資源來化解DDoS攻擊。CDN已經逐漸演化成互聯網重要的基礎設施，承載著主流網站的Web訪問流量。然而，CDN本身的安全，尤其是CDN本身的可用性沒有被系統地研究過。事實上，CDN本身也面臨DDoS攻擊的威脅。

• 面向BGP的攻擊：域間路由協議BGP是當今互聯網得以正常運行的核心和基礎之一，BGP是基于TCP的應用。我們在前面第6章的時候專題討論了由于TCP擁塞控制機制本身固有的缺陷而引起的低速率拒絕服務LDoS攻擊，也簡單討論了BGP的間接和直接缺陷。密歇根大學的Ying Zhang等人對該攻擊手段進行了定性的研究，結果表明，在采用默認配置的情況下，由于控制平面流量與數據平面流量不分離，且缺乏良好的優先級保護機制，BGP會話缺乏對于LDoS攻擊的防御力。該攻擊能有效降低BGP線路的利用率，增加傳輸延遲，并讓原本就緩慢的BGP路由表收斂過程變得更加緩慢，最嚴重的是，它甚至可能會引起BGP會話的中斷。

回答所涉及的環境：聯想天逸510S、Windows 10。