分散式拒绝服务攻击

攻击方式

频宽消耗型攻击

• User Datagram Protocol (UDP) floods
• UDP是一种无连线协定，当数据包通过 UDP 传送时，所有的数据包在传送和接收时不需要进行握手验证。当大量 UDP 数据包传送给受害系统时，可能会导致频宽饱和从而使得合法服务无法请求访问受害系统。遭受 DDoS UDP 洪泛攻击时，UDP 数据包的目的连线埠可能是随机或指定的连线埠，受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程式在目标连线埠运行，受害系统将对源IP发出 ICMP 数据包，表明“目标连线埠不可达”。某些情况下，攻击者会伪造源IP位址以隐藏自己，这样从受害系统返回的数据包不会直接回到殭尸主机，而是被传送到被伪造地址的主机。有时 UDP 洪泛攻击也可能影响受害系统周围的网路连线，这可能导致受害系统附近的正常系统遇到问题。然而，这取决于网路体系结构和线速。

• ICMP floods
• ICMP floods是通过向未良好设定的路由器传送广播信息占用系统资源的做法。

• ping of death（死亡之Ping）
• ping of death是产生超过IP协定能容忍的数据包数，若系统没有检查机制，就会当机。

• 泪滴攻击
• 每个数据要传送前，该数据包都会经过切割，每个小切割都会记录位移的信息，以便重组，但此攻击模式就是捏造位移信息，造成重组时发生问题，造成错误。

资源消耗型攻击

• 协定分析攻击（SYN flood，SYN洪水）
• 传送控制协定 (TCP) 同步 (SYN) 攻击。TCP 进程通常包括传送者和接受者之间在数据包传送之前创建的完全信号交换。启动系统传送一个 SYN 请求，接收系统返回一个带有自己 SYN 请求的 ACK （ 确认 ）作为交换。传送系统接着传回自己的 ACK 来授权两个系统间的通讯。若接收系统传送了 SYN 数据包，但没接收到 ACK，接受者经过一段时间后会再次传送新的 SYN 数据包。接受系统中的处理器和记忆体资源将存储该 TCP SYN 的请求直至逾时。DDoS TCP SYN 攻击也被称为“资源耗尽攻击” ,它利用 TCP 功能将殭尸程式伪装的 TCP SYN 请求传送给受害伺服器，从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用传送系统和接收系统间的三向信号交换来传送大量欺骗性的原 IP 地址 TCP SYN 数据包给受害系统。最终，大量 TCP SYN 攻击请求反覆传送，导致受害系统记忆体和处理器资源耗尽，致使其无法处理任何合法用户的请求。

• LAND attack
• 这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽资源而当机。

• CC 攻击
• CC 攻击是 DDoS 攻击的一种类型，使用代理伺服器向受害伺服器传送大量貌似合法的请求 （通常使用 HTTP GET)。CC (攻击黑洞)根据其工具命名，攻击者创造性地使用代理机制，利用众多广泛可用的免费代理伺服器发动 DDoS 攻击。许多免费代理伺服器支持匿名模式，这使追蹤变得非常困难。

• 殭尸网路攻击
• 殭尸网路是指大量被命令控制型 (C&C) 伺服器所控制的网际网路主机群。攻击者传播恶意软体并组成自己的殭尸网路。殭尸网路难于检测的原因是，殭尸主机只有在执行特定指令时才会与伺服器进行通讯，使得它们隐蔽且不易察觉。殭尸网路根据网路通讯协定的不同分为IRC、HTTP或P2P类等。

• Application level floods（应用程式级洪水攻击）
• 与前面叙说的攻击方式不同，Application level floods主要是针对套用软体层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网路服务程式提出无节制的资源申请来迫害正常的网路服务。