Esistono fondamentalmente due diversi approcci per classificare gli attacchi DDoS utilizzando il modello di rete ISO / OSI.
1) Il primo di questi è per lo più popolare in documenti di ricerca : prova ad analizzare carico utile dei pacchetti ricevuti dalla vittima, come se si trattasse di traffico legittimo. Il protocollo più in alto (in termini di modello OSI) che è ancora riconoscibile definisce il layerness dell'attacco.
Supponiamo che tu stia operando su un collegamento gigabit e stai ricevendo 3 gigabit di flood UDP al secondo, il che rende i tuoi servizi rivolti verso Internet non raggiungibili per il resto del mondo a causa della strong congestione. Con questo approccio, se la porta UDP di origine o di destinazione all'interno dei pacchetti di attacco è uguale a 53 e il contenuto di tali pacchetti è simile al DNS query, quindi si può dire che è un "flood DNS". Il Domain Name System appartiene al livello OSI 7, quindi questo è un attacco DDoS di livello 7.
Ma se improvvisamente il valore della porta UDP viene cambiato, diciamo, 0, allora diventa immediatamente un attacco DDoS di livello 4 ("UDP flood"), anche se l'effetto finale dell'attacco rimane lo stesso.
Con questo approccio, praticamente qualsiasi attacco in cui i pacchetti contengono alcun valore ragionevole nel campo Protocollo IPv4 / Intestazione successiva IPv6 ma non consentire ulteriori impronte digitali sarebbe un attacco di livello 4.
2) L'altro approccio, che viene utilizzato principalmente dai fornitori di attenuazione DDoS [1] , [2] , [3] , è la seguente. Lo scopo di un attacco DDoS è quello di portare giù una risorsa di rete. Una risorsa di rete non fornisce un servizio se, e solo se, almeno uno dei livelli di rete da cui dipende non funziona correttamente. Un attacco "appartiene" al livello più basso che viene colpito.
In questo modo, nell'esempio sopra, sia l'alluvione DNS che l'inondazione UDP saranno contrassegnati con OSI layer 2 o layer 3, a seconda dell'architettura della tua rete (ad esempio se i like di arp packet-priority enable
sono configurato sugli switch e così via) e qualsiasi attacco che influisca direttamente sulle implementazioni del livello 4 (ad es. driver TCP e moduli del kernel) sarebbe un attacco di livello 4. Esempi comuni includono:
e così via.