分布式拒绝服务攻击是网络攻击中常见的攻击方式。分布式拒绝服务攻击(DDoS)是指不同位置的多个攻击者同时攻击一个或多个目标,或者一个攻击者控制不同位置的多台机器,并使用这些机器同时攻击受害h m M D X T 2 \ \者。由于攻击点分布在不同的地方,这种攻击称为分布式拒绝服务攻击,其中可以有多个攻击者。
1.UDP Flood:U/ C G = o ^ Y z XDP协议是一种无C l f A连接服务。在UDP Flood中,攻击者通常会发送大量伪造源IP地. P G + q V H o s址的小UDP数据包来攻击DNS服务器、Radius认证服务器和流媒体视频服务器。10万bps的UDP Flood经常会瘫L h d T C痪线路3 K O f上的骨干设备,比如防火墙,造成整个网段瘫痪。上述传统流量攻击方( C F U g . t ?式技术含量低,造成1000人受伤,800人自损。攻击效果通J k k ; f常取决于被控主机本身的网络性能,很容易找到攻击源,因此单独使用并不常见。于是出现了四两千磅效果D 6 5 A的反射式放大攻击。
2.CC攻击:CC攻击是目前应用层的主要攻击手段之一,利g ; $ . j i T v用代理服务器产生指向目标系统的合法请求,实现伪装和DDOS。我们都有这样的经历。访问一个静态页面不需要太长时间,即使人很多。但是,如果你访问论坛、贴F p d R ` j y E吧等。高峰时期会非常慢,因为服务器系统需要去数据库判断访客是否有权限看帖B A % * 8子、说话等。访问量越大,论坛的页面越多,对数据库的压力越大,被访问的频率越高,占用的系统资源也相当可观。CC攻击充分利用了这一特性,模拟x 7 g G f j . ( r很多正常用户不断访问论坛等需要大量数据操作的A \ t页面,造成服2 R 7 M n `务器资源的浪费。CPU长时间! C = C : N处于100%,总是有无穷无尽的请求需要处理。网络拥塞,正~ j i \ ,常访问被暂停。这种攻击技术含量高,看不到真实的源IP和异常流量,而服务器就是无法正常连接。
3.SY# # S b D s S h ;N Flood:这是一种利l s L 6 X K { C用TCP协议的缺陷,发送大量伪造的TCP连接请求,从而使被攻击9 O Z H @ * $ M F方资源耗尽(CPU已满或内存不足)的攻击方法。建立b x } 5 5 BTCP连接需要三次握手s { B 1——客户端发送SYN消息,服务器接收请求并返回消息表示接受,客户端也返回确认完2 A l S 5 9 L K成连接。SYQ 0 EN Flood是指用户在向服务器发送消息后突然崩溃或掉线,因此服务器在发送回复消息后无法收到客户端的确认消息(第一次三次握手无法完成)。此时,服务器通常会重试并等待一段时间,然后丢弃未完成的连接。服务器的一个线程因为用户` t _ ? } 8的异常而等待一段时间并不是什么大问题,但是恶意攻击者大量模拟这种情况,服务器s S X _ m S / D为了维持几万个半连接,消耗了大量资源,结果往往忙得顾不上客户的正常请求,v , m ~ C 1甚至崩溃。从正常客户的角度来看,网站反应迟钝,无法访问。
4.DNS Query Flood:作为互联网的核心服务之一,DNS也是DDOSi j ? M 3 l攻击的主要目标。DNS Query Flood使w n ) 7用的方法是操纵大量傀儡机,向目标服务器发送大量域名解析请求。当服务器收到域名解析请求时,会先查k 7 $找服务器上是否有对应的缓存,如果找不到且无法直接解析域名,会递A / C h F c 8归向其上层DNS服务器查询域名信息。通常,攻击者8 & = P z ( p H c请求的域名是r { Q | g ^随机% 9 6 ] y -生成的,或者根本不存在于网络中。由于在本地找不到相应的结果,服务器必须使用递归查{ ~ =询将解析请求提交给上层域名服务器,造成连锁反应。解析过程给服务器带来了很大的负X ` L x Q 2 U D载,当域名解析请求数超过每秒一定数量时,DNS服务器就会超时。根据微软的统计,一台DNS服务器可以承受的动态域名查P ; D t U询上限是每秒9000个请求。然而E @ R D I c = e,一台P3 PC每秒可以轻松构造上万个域名解析请求,足以瘫痪一台硬件配置极高的DNS服务器,由此可见DNS服务器f I ` f的脆弱性。
5= m b V & # W o.ICMP Flood:ICMP(互联网控制W l | r $ %消息协议)用于在IP主机和路由器之间传输控制消息。控制消= O C息指的是网络本身的消息,比如网络是否无法通行,主机是否可达,路由是否可用等。虽然它不传输用户数据,但它在用{ w o ! D f户W 9 : c 2 Q数据传输中起着重要的作用。通] P & c .过向目标系统发送大量数据包,目标主机可能会瘫痪。如果发送大量数据包,将成为洪水攻击。
6.混合x % J T - 3 Z ]攻击:实际情况中,攻击者只想打败对方。到2 z =目前为止,高级攻击者不再\ - 9 4 K T e倾向于使用单一的攻击手段进行战斗,而是根据目标系统的具体z h o + 1 O A环境发动多种攻击手段,不Y j * i 4 h 6 a N仅流量大,而且利用协议和系统的缺陷尽可能多地发动攻势4 H N X / n + M +。对于被攻击的目标,需要面对不同协议和资源的分布式攻击,因此分析、响应和处理的成本会大大8 ) 8 = 9 3 Y _ g增加。
7.NTP Flood:NTP是基于UDP协议传输的标准网络时间同步协议。由于z . Z `UDP协议的无连接特性,伪造源地址非常方便。攻击者使用特殊数据包,即I; : ( BP地址指向服务器作为反射器,源IP地址伪Y = o M造为攻击目标的IP。反射器收到数据包时被骗,响应数据发送给被攻击目标,耗尽了目标网络的带宽资源。一般Nk { @ BTP服务器带宽较大,攻击者可能仅用1Mbps的上传带宽欺骗NTP服务器,可给目标服务器带来数十万Mbps的攻击流量。因此,反射攻击可以使用“问答”协议。通过将质询数据包的地址伪造为目标的地址,所有回复数据w L e / H * !包都将被发送到目标。一旦协议具有递归效应,流量就会显著放大,这可以称之为“不畅”流量攻击。有不懂R b N R H : f )的请咨询梦飞云idc了解。