分布式拒絕服務(wù) (DDoS) 攻擊試圖用大量數(shù)據(jù)淹沒其目標。DDoS 攻擊好比高速公路發(fā)生交通堵塞，妨礙常規(guī)車輛抵達目的地。

第 3 層 DDoS 攻擊以 OSI 模型中的第 3 層（L3）作為攻擊目標。與所有 DDoS 攻擊一樣，第 3 層攻擊的目的是使程序、服務(wù)、計算機或網(wǎng)絡(luò)的運行變慢或使其崩潰，或者填滿容量以使其他任何人都無法接收服務(wù)。L3 DDoS 攻擊通常通過針對網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施來實現(xiàn)。

第 3 層 DDoS 攻擊與較高層攻擊之間存在一些重要區(qū)別：

1. 第 3 層攻擊針對的是網(wǎng)絡(luò)層，而不是傳輸層或應(yīng)用程序?qū)拥倪M程（第 4 層和第 7 層 DDoS 攻擊的目標）
2. 第 3 層攻擊不必首先與目標打開 TCP 連接
3. 第 3 層攻擊不以特定端口為目標

什么是 OSI 模型？

OSI 模型是 Internet 工作原理的概念模型。OSI 模型的主要宗旨是幫助人們討論網(wǎng)絡(luò)設(shè)備和協(xié)議，確定哪些協(xié)議供哪些軟件和硬件使用，并且顯示 Internet 如何運行而與底層硬件無關(guān)。

OSI 模型將促進 Internet 運作的不同技術(shù)分為多個層面?？偣灿衅邔樱?/p>

OSI 模型中的第 3 層是什么？

OSI 第 3 層稱為網(wǎng)絡(luò)層。第 3 層包含了造就了互連網(wǎng)絡(luò)（即互聯(lián)網(wǎng)）的各種協(xié)議和技術(shù)。這一層是進行跨網(wǎng)絡(luò)路由的地方。遍歷網(wǎng)絡(luò)的數(shù)據(jù)劃分為數(shù)據(jù)包，然后對這些數(shù)據(jù)包尋址并發(fā)送到第 3 層的目的地。此過程中最重要的協(xié)議是互聯(lián)網(wǎng)協(xié)議 (IP)。

第 3 層的協(xié)議不會打開連接，確?？煽繑?shù)據(jù)傳遞或指示目標設(shè)備上的哪個服務(wù)應(yīng)使用該數(shù)據(jù)；這些是第 4 層流程。第 4 層涉及使用傳輸協(xié)議，例如 TCP 和 UDP。在沒有第 4 層傳輸協(xié)議的前提下跨網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包就像在不確保地址正確的情況下（在地址中包括應(yīng)打開信件的特定人員的姓名，或使用信譽良好的郵政服務(wù)）將信件郵寄到某一地址。數(shù)據(jù)可能會到達，也可能不會。這就是為什么許多第 3 層協(xié)議始終與第 4 層傳輸協(xié)議結(jié)合使用，以確保數(shù)據(jù)到達正確的位置。

但是，仍然可以通過 IP 將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)目標，而不使用傳輸協(xié)議。

由于第 3 層是無連接的，因此第 3 層 DDoS 攻擊無需通過 TCP 打開連接或指示端口分配。第 3 層 DDoS 攻擊的目標是計算機正在運行的網(wǎng)絡(luò)軟件，而不是特定的端口。

第 3 層使用什么協(xié)議？

下方列出了使用最廣泛的第 3 層協(xié)議，以及最有可能在 DDoS 攻擊中使用的協(xié)議：

IP：互聯(lián)網(wǎng)協(xié)議 (IP) 路由和尋址數(shù)據(jù)包，以便它們到達正確的目的地。每個連接到互聯(lián)網(wǎng)的設(shè)備都有一個 IP 地址，并且IP 協(xié)議將正確的 IP 地址附加到各個數(shù)據(jù)包上，就如在給人寫信時注明地址一樣。

IPsec：IPsec 實際上是由幾個協(xié)議組成的套件，而不是單一的協(xié)議。IPsec 是 IP 的加密版本，由?VPN?使用，類似于?HTTPS?和?HTTP?之間的區(qū)別。

ICMP：互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)?處理錯誤報告和測試。ICMP 是無連接協(xié)議，不使用 TCP 或 UDP 等傳輸協(xié)議。相反，ICMP 數(shù)據(jù)包僅通過 IP 發(fā)送。開發(fā)人員和網(wǎng)絡(luò)工程師將 ICMP 用于 ping 和 traceroute 功能。通常一次只需要發(fā)送一個 ICMP 數(shù)據(jù)包。

其他第 3 層協(xié)議包括：

• IGMP：Internet 組消息協(xié)議管理 IP 多播組，使一個網(wǎng)絡(luò)中的多個設(shè)備可以接收相同的 IP 流量。
• ARP：地址解析協(xié)議僅在單個網(wǎng)絡(luò)內(nèi)使用。計算機使用此協(xié)議將 IP 地址映射到網(wǎng)絡(luò)中的 MAC 地址（MAC 地址是硬連接到每個具有Internet 功能的設(shè)備中的唯一標識符，就如指紋一般）。

從理論上看，使用這些協(xié)議中的任何一種進行攻擊都是可能的。ICMP 通常用于向服務(wù)器發(fā)送過多無法響應(yīng)的 ping 信號，或利用一個大型 ping 數(shù)據(jù)包使接收設(shè)備崩潰（這稱為“死亡之 Ping”）。攻擊者可以通過 IPsec 使用垃圾數(shù)據(jù)或過大的安全性證書來淹沒目標。

不過，并非所有這些協(xié)議都能真正用于 DDoS 攻擊，而且硬件更新也杜絕了某些攻擊類型的可能性。例如，ARP 僅在本地網(wǎng)絡(luò)內(nèi)運行，因此攻擊者首先需要連接到本地網(wǎng)絡(luò)，然后才能進行 DDoS 攻擊。而且，無法對現(xiàn)代硬件進行 ICMP 死亡之 Ping 攻擊，這些硬件會忽略太大的 IP 數(shù)據(jù)包。

L3 DDoS 攻擊如何工作？

與其他類型的 DDoS 攻擊一樣，攻擊者通過這些協(xié)議發(fā)送大量垃圾網(wǎng)絡(luò)流量。操作方法有多種，具體取決于協(xié)議。垃圾流量阻礙合法用戶的請求，從而減慢對其的響應(yīng)或?qū)⑵渫耆柚?。有時，過多的垃圾數(shù)據(jù)使目標資源被淹沒，造成目標崩潰。

第 3 層 DDoS 攻擊有哪些著名類型？

盡管其他攻擊也有可能，包括僅通過 IP 的攻擊在內(nèi)，但基于 ICMP 的攻擊最為常見。著名的 ICMP 攻擊包括：

• Ping 洪水：在?Ping 洪水 DDoS 攻擊中，攻擊者一次向服務(wù)器發(fā)送數(shù)千個甚至數(shù)百萬個 ping 請求。
• Smurf 攻擊：ICMP 沒有適當?shù)陌踩Ｗo或驗證措施，這使攻擊者能夠在 ICMP 請求中偽造 IP 地址。在?Smurf DDoS 攻擊中，攻擊者向數(shù)千臺服務(wù)器發(fā)出 ping 請求，在 ping 請求中偽造目標的 IP地址，從而使響應(yīng)發(fā)往目標，而不是攻擊者。大多數(shù)現(xiàn)代網(wǎng)絡(luò)硬件不再容易遭受這種攻擊。
• 死亡之 Ping：在 ICMP 死亡之 Ping 攻擊中，攻擊者向目標發(fā)送超過最大允許大小的 ping 請求。通向目標的路由器會將 ping 分段成較小的數(shù)據(jù)包，以便目標接受它們，但是當它嘗試從較小片段重新組合大數(shù)據(jù)包時，數(shù)據(jù)包大小將超過最大值，從而使目標崩潰?，F(xiàn)代設(shè)備不容易遭受這種攻擊。

京東云星盾 如何防御第 3 層 DDoS 攻擊？

除了阻止第 4 層和第 7 層的 DDoS 攻擊外，京東云星盾 還可緩解第 3 層 DDoS 攻擊。京東云 星盾?專門用于阻止對內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊，包括任何層的 DDoS 攻擊。京東云 星盾WAF 和 CDN 也通過僅接受 HTTP 和 HTTPS 端口的流量（這些僅在第 7 層上）來阻止第 3 層 DDoS 攻擊。

TCP/IP 模型中的第 3 層是什么？

TCP/IP 模型是另一種網(wǎng)絡(luò)工作方模型。TCP/IP 模型包含四層，而不是七層：

1. 應(yīng)用程序?qū)樱▽?yīng)于 OSI 模型中的第 5-7 層）
2. 傳輸層（對應(yīng)于 OSI 模型中的第 4 層）
3. Internet 層（對應(yīng)于 OSI 模型中的第 3 層）
4. 網(wǎng)絡(luò)訪問/鏈路層（對應(yīng)于 OSI 模型中的第 1-2 層）

如果引用 TCP/IP 模型而非 OSI 模型，則第 3 層 DDoS 攻擊將稱為第 2 層 DDoS 攻擊。