分布式拒绝服务攻击是网络攻击中常见的攻击方式。分布式拒绝服务攻击(DDoS)是指不同位置的多个攻击者同时攻击一个或多个目标,或者一个攻击者控制不同位置的多台机器,并使用这些机器同时攻击受害者。由于攻击点分布在不同的地方,这种攻击称为分布式拒绝服务攻击,其中可以有多个攻击者。
1.UDP Flood:UDP协议是一种无连接服务。在UDP Flood中,攻击者通常会发送大量伪造源IP地址的小UDP数据包来攻击DNS服务器、Radius认证服务器和流媒体视频服务器。10万bps的UDP Flood经常会瘫痪线路上的骨干设备,比如防火墙,造成整个网段瘫痪。上述传统流量攻击方式技术含量低,造成1000人受伤,800人自损。攻击效果通常取决于被控主机本身的网络性能,很容易找到攻击源,因此单独使用并不常见。于是出现了四两千磅效果的反射式放大攻击。
2.CC攻击:CC攻击是目前应用层的主要攻击手段之一,利用代理服务器产生指向目标系统的合法请求,实现伪装和DDOS。我们都有这样的经历。访问一个静态页面不需要太长时间,即使人很多。但是,如果你访问论坛、贴吧等。高峰时期会非常慢,因为服务器系统需要去数据库判断访客是否有权限看帖子、说话等。访问量越大,论坛的页面越多,对数据库的压力越大,被访问的频率越高,占用的系统资源也相当可观。CC攻击充分利用了这一特性,模拟很多正常用户不断访问论坛等需要大量数据操作的页面,造成服务器资源的浪费。CPU长时间处于100%,总是有无穷无尽的请求需要处理。网络拥塞,正常访问被暂停。这种攻击技术含量高,看不到真实的源IP和异常流量,而服务器就是无法正常连接。
3.SYN Flood:这是一种利用TCP协议的缺陷,发送大量伪造的TCP连接请求,从而使被攻击方资源耗尽(CPU已满或内存不足)的攻击方法。建立TCP连接需要三次握手——客户端发送SYN消息,服务器接收请求并返回消息表示接受,客户端也返回确认完成连接。SYN Flood是指用户在向服务器发送消息后突然崩溃或掉线,因此服务器在发送回复消息后无法收到客户端的确认消息(第一次三次握手无法完成)。此时,服务器通常会重试并等待一段时间,然后丢弃未完成的连接。服务器的一个线程因为用户的异常而等待一段时间并不是什么大问题,但是恶意攻击者大量模拟这种情况,服务器为了维持几万个半连接,消耗了大量资源,结果往往忙得顾不上客户的正常请求,甚至崩溃。从正常客户的角度来看,网站反应迟钝,无法访问。
4.DNS Query Flood:作为互联网的核心服务之一,DNS也是DDOS攻击的主要目标。DNS Query Flood使用的方法是操纵大量傀儡机,向目标服务器发送大量域名解析请求。当服务器收到域名解析请求时,会先查找服务器上是否有对应的缓存,如果找不到且无法直接解析域名,会递归向其上层DNS服务器查询域名信息。通常,攻击者请求的域名是随机生成的,或者根本不存在于网络中。由于在本地找不到相应的结果,服务器必须使用递归查询将解析请求提交给上层域名服务器,造成连锁反应。解析过程给服务器带来了很大的负载,当域名解析请求数超过每秒一定数量时,DNS服务器就会超时。根据微软的统计,一台DNS服务器可以承受的动态域名查询上限是每秒9000个请求。然而,一台P3 PC每秒可以轻松构造上万个域名解析请求,足以瘫痪一台硬件配置极高的DNS服务器,由此可见DNS服务器的脆弱性。
5.ICMP Flood:ICMP(互联网控制消息协议)用于在IP主机和路由器之间传输控制消息。控制消息指的是网络本身的消息,比如网络是否无法通行,主机是否可达,路由是否可用等。虽然它不传输用户数据,但它在用户数据传输中起着重要的作用。通过向目标系统发送大量数据包,目标主机可能会瘫痪。如果发送大量数据包,将成为洪水攻击。
6.混合攻击:实际情况中,攻击者只想打败对方。到目前为止,高级攻击者不再倾向于使用单一的攻击手段进行战斗,而是根据目标系统的具体环境发动多种攻击手段,不仅流量大,而且利用协议和系统的缺陷尽可能多地发动攻势。对于被攻击的目标,需要面对不同协议和资源的分布式攻击,因此分析、响应和处理的成本会大大增加。
7.NTP Flood:NTP是基于UDP协议传输的标准网络时间同步协议。由于UDP协议的无连接特性,伪造源地址非常方便。攻击者使用特殊数据包,即IP地址指向服务器作为反射器,源IP地址伪造为攻击目标的IP。反射器收到数据包时被骗,响应数据发送给被攻击目标,耗尽了目标网络的带宽资源。一般NTP服务器带宽较大,攻击者可能仅用1Mbps的上传带宽欺骗NTP服务器,可给目标服务器带来数十万Mbps的攻击流量。因此,反射攻击可以使用“问答”协议。通过将质询数据包的地址伪造为目标的地址,所有回复数据包都将被发送到目标。一旦协议具有递归效应,流量就会显著放大,这可以称之为“不畅”流量攻击。有不懂的请咨询梦飞云idc了解。