DDoS攻击的风格
1. UDP和ICMP洪水
这些是属于容量型攻击中最常见的攻击方式。UDP洪水通过用户数据报协议(UDP)数据包淹没主机资源。相比之下,ICMP洪水则使用互联网控制消息协议(ICMP)回显请求(ping)数据包达到同样的效果,直到服务不堪重负。
此外,攻击者倾向于使用反射攻击来增加这些洪水的破坏性流量,其中受害者的IP地址被伪装,使得UDP或ICMP请求似乎来自受害者。响应被发送回服务器本身,因为恶意数据包似乎是从受害者那里来的。这样,这些攻击消耗了进出的带宽。
2. DNS放大
顾名思义,这些攻击涉及到犯罪分子发送大量DNS查询请求,使网络失效。放大通过扩大出站流量来耗尽服务器的带宽。
这是通过向服务器发送输出大量数据作为响应的信息请求来完成的,然后通过伪造回复地址将该数据直接路由回服务器。
因此,攻击者通过僵尸网络中的许多不同源头向公共可访问的DNS服务器发送众多相对较小的数据包。它们都是请求一个冗长响应的请求,如DNS名称查找请求。然后,DNS服务器以响应数据包回复这些分散的请求,包含的数据量比初始请求数据包大许多个数量级,所有这些数据都被发送回受害者的DNS服务器。
3. 死亡之ping
这是另一种协议攻击,攻击者向计算机发送多个恶意或格式错误的ping。虽然一个IP数据包的最大长度是65,535字节,但数据链路层限制了以太网网络上允许的最大帧大小。
因此,一个大的IP数据包被分割成多个数据包(称为片段),接收主机重新组装这些片段以创建一个完整的数据包。在死亡之ping的情况下,尝试重新组装恶意ping的片段时,主机最终得到的是一个大于65,535字节的IP数据包。这导致为该数据包分配的内存缓冲区溢出,结果是即使是合法的数据包也会服务拒绝。
4. SYN洪水
SYN洪水是最常见的协议攻击之一,它绕过了建立客户端和服务器之间TCP连接所需的三次握手过程。
这些连接通常由客户端向服务器发送一个初始同步(SYN)请求来建立,服务器回复一个确认(SYN-ACK)响应,客户端以最终确认(ACK)完成握手。
SYN洪水通过快速连续发送那些初始同步请求,并通过永远不回复最终确认来使服务器挂起。最终,服务器被迫保持打开大量半开放连接,最终资源不堪重负直到服务器崩溃。
5. HTTP洪水攻击
这是最常见的应用层DDoS攻击类型之一。在这种攻击中,攻击者与Web服务器或应用程序进行看似正常的交互。
尽管所有这些交互看起来都是通过Web浏览器进行的,以模仿正常用户活动,但它们的目的是尽可能多地消耗服务器资源。
攻击者发起的请求可以包括从使用GET请求调用文档或图片的URL,到使用POST请求使服务器处理数据库调用等任何操作。
DDoS攻击服务经常在暗网上出售。