受害主機在 ddos 攻擊下,明顯特徵就是大量的不明資料報文流向受害主機,受害主機的網路接入頻寬被耗盡,
或者受害主機的系統資源(儲存資源和計算資源)被大量占用,甚至發生宕機。前者可稱為頻寬消耗攻擊,
後者稱為系統資源消耗攻擊。兩者可能單獨發生,也可能同時發生。
1 頻寬消耗攻擊
ddos頻寬消耗攻擊主要為直接洪流攻擊。 直接洪流攻擊採取了簡單自然的攻擊方式,它利用了攻擊方的資源優勢,
當大量**發出的攻擊流匯聚於目標時,足以耗盡其 internet 接入頻寬。
通常用於傳送的攻擊報文型別有:tcp報文(可含tcp syn報文),udp報文,icmp報文,三者可以單獨使用,也可同時使用。
1.1 tcp洪流攻擊
在早期的dos攻擊中,攻擊者只傳送tcp syn報文,以消耗目標的系統資源。
而在 ddos 攻擊中,由於攻擊者擁有更多的攻擊資源,所以攻擊者在大量傳送tcp syn報文的同時,
還傳送ack, fin, rst報文以及其他 tcp 普通資料報文,這稱為 tcp 洪流攻擊。
該攻擊在消耗系統資源(主要由 syn,rst 報文導致)的同時,還能擁塞受害者的網路接入頻寬。
由於tcp協議為tcp/ip協議中的基礎協議,是許多重要應用層服務(如web 服務,ftp 服務等)的基礎,
所以tcp洪流攻擊能對伺服器的服務效能造成致命的影響。據研究統計,大多數ddos攻擊通過tcp洪流攻擊實現。
1.2 udp 洪流攻擊
使用者資料報協議(udp)是乙個無連線協議。當資料報經由udp協議傳送時,傳送雙方無需通過三次握手建立連線,
接收方必須接收處理該資料報。因此大量的發往受害主機 udp 報文能使網路飽和。
在一起udp 洪流攻擊中,udp 報文發往受害系統的隨機或指定埠。
通常,udp洪流攻擊設定成指向目標的隨機埠。這使得受害系統必須對流入資料進行分析以確定哪個應用服務請求了資料。
如果受害系統在某個被攻擊埠沒有執行服務,它將用 icmp 報文回應乙個「目標埠不可達」訊息。
通常,攻擊中的ddos工具會偽造攻擊包的源ip位址。
這有助於隱藏**的身份,同時能確保來自受害主機的回應訊息不會返回到**。
udp洪流攻擊同時也會擁塞受害主機周圍的網路頻寬(視網路構架和線路速度而定)。
因此,有時連線到受害系統周邊網路的主機也會遭遇網路連線問題。
1.3 icmp洪流攻擊
internet 控制報文協議傳遞差錯報文及其它網路管理訊息,它被用於定位網路裝置,確定源到端的跳數或往返時間等。
乙個典型的運用就是 ping 程式,其使用 icmp_echo reqest 報文,使用者可以向目標傳送乙個請求訊息,並收到乙個帶往返時間的回應訊息。
icmp 洪流攻擊就是通過**向受害主機傳送大量icmp_echo_ reqest)報文。
這些報文湧往目標並使其回應報文,兩者合起來的流量將使受害主機網路頻寬飽和。與udp洪流攻擊一樣,icmp洪流攻擊通常也偽造源ip位址。
2 系統資源消耗攻擊
ddos系統資源消耗攻擊包括惡意誤用 tcp/ip 協議通訊和傳送畸形報文兩種攻擊方式。
兩者都能起到占用系統資源的效果。具體有以下幾種:
tcp syn攻擊。dos的主要攻擊方式,在ddos攻擊中仍然是最常見的攻擊手段之一。
只不過在 ddos 方式下,它的攻擊強度得到了成百上千倍的增加。
tcp psh+ack 攻擊。在 tcp 協議中,到達目的地的報文將進入 tcp棧的緩衝區,直到緩衝區滿了,報文才被轉送給接收系統。
此舉是為了使系統清空緩衝區的次數達到最小。
然而,傳送者可通過傳送 psh 標誌為 1 的tcp 報文來起強制要求接受系統將緩衝區的內容清除。
tcp push+ack 攻擊與 tcp syn 攻擊一樣目的在於耗盡受害系統的資源。當**向受害主機傳送psh和ack標誌設為1的tcp報文時,
這些報文將使接收系統清除所有 tcp 緩衝區的資料(不管緩衝區是滿的還是非滿),並回應乙個確認訊息。
如果這個過程被大量**重複,系統將無法處理大量的流入報文。 畸形報文攻擊。
顧名思義,畸形報文攻擊指的是攻擊者指使**向受害主機傳送錯誤成型的ip報文以使其崩潰。
有兩種畸形報文攻擊方式。一種是ip 位址攻擊,攻擊報文擁有相同的源 ip 和目的 ip 位址。
它能迷惑受害主機的作業系統,並使其消耗大量的處理能力。另乙個是ip報文可選段攻擊。
攻擊報文隨機選取ip報文的可選段並將其所有的服務位元值設為1。
對此,受害系統不得不花費額外的處理時間來分析資料報。當發動攻擊的**足夠多時,受害系統將失去處理能力。
3 應用層攻擊
典型如國內流行的傳奇假人攻擊,這種攻擊利用傀儡機,模擬了傳奇伺服器的資料流,
能夠完成普通傳奇戲伺服器的註冊、登陸等功能,使得伺服器執行的傳奇遊戲內出現大量的假人,
影響了正常玩家的登陸和遊戲,嚴重時完全無法登陸。
ddos的攻擊型別
到目前為止,防禦 ddos 的攻擊還是比較困難的,攻擊的特點是利用了tcp ip協議的漏洞。ddos 攻擊型別的分布64 是屬於容量耗盡型攻擊,18 是屬於狀態耗盡型攻擊,應用層攻擊也大約是 18 下面簡單說幾種攻擊型別 一 攻擊頻寬 以力取勝 如同城市堵車一樣,當資料報超過頻寬上限,就會出現網路擁...
反射性DDos攻擊型別及原理解析
1 反射攻擊 memcached反射攻擊 ntp反射攻擊 ssdp反射攻擊 2 偽造跨域攻擊 3 偽造本地攻擊 memcached 反射攻擊利用了在網際網路上暴露的大批量memcached 伺服器 一種分布式快取系統 存在的認證和設計缺陷,攻擊者通過向 memcached 伺服器 ip 位址的預設埠...
DDoS攻擊介紹,如何防禦DDoS攻擊
分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...