Hay básicamente dos enfoques diferentes para clasificar los ataques DDoS utilizando el modelo de red ISO / OSI.
1) El primero de ellos es principalmente popular en artículos de investigación : intente analizar el Carga útil de los paquetes que la víctima está recibiendo, como si se tratara de tráfico legítimo. El protocolo superior (en términos de modelo OSI) que aún es reconocible define la soledad del ataque.
Digamos que estás operando en un enlace de gigabit y que estás recibiendo 3 gigabits de UDP por segundo, lo que hace que tus servicios de acceso a Internet sean inalcanzables para el resto del mundo debido a la gran congestión. Con este enfoque, si el puerto UDP de origen o destino dentro de los paquetes de ataque es igual a 53 y el contenido de esos paquetes se parece al DNS consultas, entonces usted puede decir que es una "inundación de DNS". El sistema de nombres de dominio pertenece a la capa 7 de OSI, por lo que este es un ataque DDoS de capa 7.
Pero si de repente el valor del puerto UDP se cambia a, digamos, 0, entonces se convierte inmediatamente en un ataque DDoS de capa 4 ("inundación UDP"), aunque el efecto final del ataque sigue siendo el mismo.
Con este enfoque, prácticamente cualquier ataque donde los paquetes contengan cualquier valor sensible en el campo IPv4 Protocol / IPv6 Next Header pero no permitir ninguna otra toma de huellas dactilares sería un ataque de capa 4.
2) El otro enfoque, que es utilizado principalmente por los proveedores de mitigación de DDoS [1] , [2] , [3] , es el siguiente. El propósito de un ataque DDoS es reducir un recurso de red. Un recurso de red no proporciona un servicio si, y solo si, al menos una de las capas de red de las que depende no funciona correctamente. Un ataque "pertenece" a la capa más baja que se ve afectada.
De esta manera, en el ejemplo anterior, tanto la inundación de DNS como la inundación de UDP se marcarán con la capa OSI 2 o la capa 3, dependiendo de la arquitectura de su red (por ejemplo, si le gustan a arp packet-priority enable
son configurado en sus conmutadores, y así sucesivamente), y cualquier ataque que afecte las implementaciones de la capa 4 (por ejemplo, controladores TCP y módulos del kernel) directamente sería un ataque de la capa 4. Los ejemplos comunes incluyen:
y así sucesivamente.