四類新型的DDoS攻擊

從技術類別上將，目前的網路情況中，dos和ddos當前主要有四種流行的概括性分類。

1.tcp全連線攻擊

在很多防火牆產品開始為網路提供保護以後，出現了這種新的ddos攻擊方式，可以說它就是為了繞過

或者突破常規防火牆阻擋而存在的。

一般情況下，常規防火牆大多具備過濾

teardrop、land等傳統dos攻擊的技術能力，但是他們對使用者正常的tcp連線是允許通過的，也就是說對使用者的正常訪問不限制。但是很多網路服務程式，比如iis、apache等web伺服器能接受的tcp連線數是有限的，一旦有大量的tcp連線，即便是正常的，也會導致**

訪問非常緩慢甚至拒絕服務無法訪問。tcp全連線攻擊就是通過許多殭屍主機不斷地與被攻擊伺服器建立大量的tcp連線，直到伺服器的記憶體

等資源被耗盡而被拖跨，從而造成拒絕服務。

這種攻擊的特點是可繞過

一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍主機的ip是暴露的，因此容易被追蹤。

2.基於指令碼的ddos攻擊

基於指令碼的ddos攻擊是很新的一種攻擊技術，它主要針對的是asp、jsp、php、cgi等指令碼程式，利用指令碼程式一般都需要呼叫microsoftsql

server、mysql

、oracle等資料

庫的情況，利用正常的指令碼功能，和伺服器建立絲毫沒有異常的tcp連線，不斷的向指令碼程式提交查詢、列表等大量耗費資料

庫資源的請求，以攻擊者極小的資源消耗，迫使伺服器承受極大的執行壓力，以達到拒絕服務的目的。

一般來說，使用者提交乙個get或post請求，對使用者自己來說，耗費和頻寬的占用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從資料

庫的上萬條記錄中去查出這個記錄，這種處理過程對資源的耗費相對於使用者來說是比較大的,而對於使用者來說消耗卻是很小的。因此攻擊者只需通過**向主機伺服器大量遞交查詢或者消耗資源比較大的請求，只需數分鐘就會把伺服器資源消耗掉而導致拒絕服務。

這種攻擊的特點是可以完全繞過

普通的防火牆防護，輕鬆找一些**或者**伺服器就可實施攻擊。、

3.經過公升級

和變化的syn/ackflood攻擊

這種攻擊方法是經典最有效的dos方法，從原理上來說是可以通殺各種系統的網路服務，因為它的技術核心是通過向受害主機傳送大量偽造源ip和源埠的syn或ack包

，導致主機的快取資源被耗盡或忙於傳送回應包

而造成拒絕服務。

原本單一的dos攻擊比較好防禦，但是攻擊者將整個攻擊方式應用到了ddos中，利用龐大的殭屍網路來發起這樣的攻擊，使整個攻擊方式的威力得打極大的提公升，是今天依然很流行的一種ddos攻擊方式。

4.穿專業的抗ddos防火牆

這種攻擊手法是將來流行的攻擊方法，利用抗ddos防火牆本身弱點發起的新型攻擊手段

，都在試圖穿過抗ddos防火牆。但現在這種技術都在圈內，不對外公布，所以知道的人了了無幾，如果這種方法及工具

流出的話，將會引起一場安全

界內的動盪。