受害主機在 DDoS 攻擊下,明顯特征就是大量的不明數(shù)據(jù)報文流向受害主機����,受害主機的網(wǎng)絡(luò)接入帶寬被耗盡,
或者受害主機的系統(tǒng)資源(存儲資源和計算資源)被大量占用��,甚至發(fā)生死機�����。前者可稱為帶寬消耗攻擊�,
后者稱為系統(tǒng)資源消耗攻擊。兩者可能單獨發(fā)生���,也可能同時發(fā)生�����。
1 帶寬消耗攻擊
DDoS帶寬消耗攻擊主要為直接洪流攻擊����。 直接洪流攻擊采取了簡單自然的攻擊方式,它利用了攻擊方的資源優(yōu)勢��,
當大量代理發(fā)出的攻擊流匯聚于目標時�����,足以耗盡其 Internet 接入帶寬�����。
通常用于發(fā)送的攻擊報文類型有:TCP報文(可含TCP SYN報文)�����,UDP報文�,ICMP報文,三者可以單獨使用���,也可同時使用。
1.1 TCP洪流攻擊
在早期的DoS攻擊中���,攻擊者只發(fā)送TCP SYN報文�����,以消耗目標的系統(tǒng)資源�。
而在 DDoS 攻擊中,由于攻擊者擁有更多的攻擊資源�,所以攻擊者在大量發(fā)送TCP SYN報文的同時,
還發(fā)送ACK, FIN, RST報文以及其他 TCP 普通數(shù)據(jù)報文����,這稱為 TCP 洪流攻擊。
該攻擊在消耗系統(tǒng)資源(主要由 SYN����,RST 報文導致)的同時,還能擁塞受害者的網(wǎng)絡(luò)接入帶寬�。
由于TCP協(xié)議為TCP/IP協(xié)議中的基礎(chǔ)協(xié)議,是許多重要應用層服務(如WEB 服務����,F(xiàn)TP 服務等)的基礎(chǔ),
所以TCP洪流攻擊能對服務器的服務性能造成致命的影響�。據(jù)研究統(tǒng)計,大多數(shù)DDoS攻擊通過TCP洪流攻擊實現(xiàn)�����。
1.2 UDP 洪流攻擊
用戶數(shù)據(jù)報協(xié)議(UDP)是一個無連接協(xié)議。當數(shù)據(jù)包經(jīng)由UDP協(xié)議發(fā)送時���,發(fā)送雙方無需通過三次握手建立連接�����,
接收方必須接收處理該數(shù)據(jù)包�����。因此大量的發(fā)往受害主機 UDP 報文能使網(wǎng)絡(luò)飽和���。
在一起UDP 洪流攻擊中,UDP 報文發(fā)往受害系統(tǒng)的隨機或指定端口�����。
通常����,UDP洪流攻擊設(shè)定成指向目標的隨機端口。這使得受害系統(tǒng)必須對流入數(shù)據(jù)進行分析以確定哪個應用服務請求了數(shù)據(jù)。
如果受害系統(tǒng)在某個被攻擊端口沒有運行服務���,它將用 ICMP 報文回應一個“目標端口不可達”消息。
通常����,攻擊中的DDoS工具會偽造攻擊包的源IP地址。
這有助于隱藏代理的身份��,同時能確保來自受害主機的回應消息不會返回到代理�。
UDP洪流攻擊同時也會擁塞受害主機周圍的網(wǎng)絡(luò)帶寬(視網(wǎng)絡(luò)構(gòu)架和線路速度而定)。
因此��,有時連接到受害系統(tǒng)周邊網(wǎng)絡(luò)的主機也會遭遇網(wǎng)絡(luò)連接問題�����。
來源:(http://blog.sina.com.cn/s/blog_634fb9090100fw8g.html) - DDOS攻擊主要類型解析_DDOS網(wǎng)站攻擊業(yè)務_新浪博客
1.3 ICMP洪流攻擊
Internet 控制報文協(xié)議傳遞差錯報文及其它網(wǎng)絡(luò)管理消息���,它被用于定位網(wǎng)絡(luò)設(shè)備���,確定源到端的跳數(shù)或往返時間等。
一個典型的運用就是 Ping 程序��,其使用 ICMP_ECHO REQEST 報文,用戶可以向目標發(fā)送一個請求消息����,并收到一個帶往返時間的回應消息。
ICMP 洪流攻擊就是通過代理向受害主機發(fā)送大量ICMP_ECHO_ REQEST)報文����。
這些報文涌往目標并使其回應報文,兩者合起來的流量將使受害主機網(wǎng)絡(luò)帶寬飽和�。與UDP洪流攻擊一樣,ICMP洪流攻擊通常也偽造源IP地址�����。
2 系統(tǒng)資源消耗攻擊
DDoS系統(tǒng)資源消耗攻擊包括惡意誤用 TCP/IP 協(xié)議通信和發(fā)送畸形報文兩種攻擊方式�����。
兩者都能起到占用系統(tǒng)資源的效果��。具體有以下幾種:
TCP SYN攻擊�����。DoS的主要攻擊方式���,在DDoS攻擊中仍然是最常見的攻擊手段之一���。
只不過在 DDoS 方式下�����,它的攻擊強度得到了成百上千倍的增加。
TCP PSH+ACK 攻擊����。在 TCP 協(xié)議中,到達目的地的報文將進入 TCP棧的緩沖區(qū)�����,直到緩沖區(qū)滿了����,報文才被轉(zhuǎn)送給接收系統(tǒng)。
此舉是為了使系統(tǒng)清空緩沖區(qū)的次數(shù)達到最小����。
然而,發(fā)送者可通過發(fā)送 PSH 標志為 1 的TCP 報文來起強制要求接受系統(tǒng)將緩沖區(qū)的內(nèi)容清除��。
TCP PUSH+ACK 攻擊與 TCP SYN 攻擊一樣目的在于耗盡受害系統(tǒng)的資源。當代理向受害主機發(fā)送PSH和ACK標志設(shè)為1的TCP報文時�,
這些報文將使接收系統(tǒng)清除所有 TCP 緩沖區(qū)的數(shù)據(jù)(不管緩沖區(qū)是滿的還是非滿),并回應一個確認消息�����。
如果這個過程被大量代理重復�,系統(tǒng)將無法處理大量的流入報文。 畸形報文攻擊�。
顧名思義,畸形報文攻擊指的是攻擊者指使代理向受害主機發(fā)送錯誤成型的IP報文以使其崩潰�����。
有兩種畸形報文攻擊方式����。一種是IP 地址攻擊,攻擊報文擁有相同的源 IP 和目的 IP 地址��。
它能迷惑受害主機的操作系統(tǒng)�����,并使其消耗大量的處理能力���。另一個是IP報文可選段攻擊��。
攻擊報文隨機選取IP報文的可選段并將其所有的服務比特值設(shè)為1��。
對此����,受害系統(tǒng)不得不花費額外的處理時間來分析數(shù)據(jù)包。當發(fā)動攻擊的代理足夠多時���,受害系統(tǒng)將失去處理能力。
3 應用層攻擊
典型如國內(nèi)流行的傳奇假人攻擊���,這種攻擊利用傀儡機���,模擬了傳奇服務器的數(shù)據(jù)流,
能夠完成普通傳奇戲服務器的注冊�、登陸等功能,使得服務器運行的傳奇游戲內(nèi)出現(xiàn)大量的假人�,
影響了正常玩家的登陸和游戲,嚴重時完全無法登陸��。
轉(zhuǎn)載
