我的意思是,假设对在与其他 10 台虚拟机一起运行的物理服务器上的虚拟机进行大规模 DDoS 攻击,其他虚拟机将如何受到此次攻击的影响?
答案1
虚拟机与物理机上的其他虚拟机共享物理网卡。因此,如果 DDoS 攻击足够强大,足以压垮网卡的容量,它确实会拒绝其他虚拟机的访问。
然而,这假设没有服务质量软件,这可能只允许虚拟机占用一定比例的带宽。在这种情况下,DDoS 攻击可能不会直接影响物理机,但可能会压垮路由器,造成同样的效果。
答案2
DDOS攻击是一个很宽泛的术语。DDOS攻击有很多不同的形式。
- TCP连接攻击-占用连接
- 容量耗尽攻击——耗尽带宽
- 碎片攻击——数据包碎片
- 应用程序攻击 - 针对应用程序
放大:攻击可以通过两种方式增加其发送的流量。
DNS 反射 - 小请求,大回复。
通过伪造受害者的 IP 地址,攻击者可以向 DNS 服务器发送小请求,并要求其向受害者发送大回复。这样攻击者就可以将其僵尸网络的每个请求放大 70 倍,从而更容易压垮目标。
Chargen Reflection - 稳定的文本流
大多数计算机和联网打印机都支持过时的测试服务 Chargen,该服务允许某人要求设备使用一串随机字符进行回复。Chargen 可用作放大类似于 DNS 攻击的攻击的手段
攻击类型:
Smurf 攻击是一种分布式拒绝服务攻击,其中大量带有目标受害者的欺骗源 IP 的 Internet 控制消息协议 (ICMP) 数据包使用 IP 广播地址广播到计算机网络。
泪滴攻击涉及向目标机器发送重叠且超大有效负载的损坏 IP 片段。这可能会使各种操作系统崩溃,因为其 TCP/IP 碎片重组代码中存在错误。
死亡之平是一种针对计算机系统的攻击,涉及向计算机发送格式错误或其他恶意的 ping。
点对点没有僵尸网络,攻击者也不必与它破坏的客户端进行通信。相反,攻击者充当“傀儡大师”,指示大型对等文件共享中心的客户端断开与对等网络的连接,转而连接到受害者的网站
永久拒绝服务 (PDoS)或 Phlashing 是一种严重损坏系统的攻击,需要更换或重新安装硬件。与分布式拒绝服务攻击不同,PDoS 攻击利用安全漏洞,允许在受害者硬件(如路由器、打印机或其他网络硬件)的管理接口上进行远程管理。攻击者利用这些漏洞将设备的固件替换为经过修改、损坏或有缺陷的固件映像 - 这一过程在合法情况下称为刷新。因此,这会“破坏”设备,使其无法用于其原始用途,直到可以修复或更换它为止。
还有很多 ...
因此,这取决于使用哪种类型的攻击……如果攻击设法以某种方式“削弱”主机(错误配置导致虚拟机使用过多资源、占用带宽、某种 2 级攻击使防火墙或 IDS 拒绝所有流量……等等……),那么所有虚拟机都将受到影响。正确配置的主机将减轻 (D)DOS 攻击对某些虚拟机的影响,在虚拟机之间平衡 CPU/RAM/网络使用情况等。无论如何,有许多缓解技术可以针对 (D)DOS 攻击进行设置,从简单地阻止已知的僵尸网络到成熟的商业解决方案。