如果你是搞it的同学,如果连Ddos攻击是啥都不清楚会被笑话的。别焦急,这里有份很全的Ddos总结档案,还烦懑来看看。。
首先按攻击形式分:
一、流量型攻击
这种攻击花费网络带宽或利用大量数据包淹没一个或多个路由器、做事器和防火墙;带宽攻击的普遍形式是大量表面看合法的 TCP、UDP 或 ICMP 数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常利用源地址欺骗,并一直地变革。这种攻击相对而言更加难以防御,由于合法数据包和无效数据 包看起来非常类似。
二、资源耗尽型
利用TCP和HTTP等协议定义的行为来不断占用打算资源以阻挡它们处理正常事务和要求。HTTP 半开和 HTTP 缺点便是运用攻击的两个范例例子,缓存溢出攻击-试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会溢出到其他的缓存之中,毁坏或者覆盖个中的有效数据。
比较常见的DDoS攻击类型:
1、SYN flood攻击
常日在进行 TCP 连接须要进行三次握手。当客户端向做事端发出要求时,首先会发送一个 TCP SYN 数据包。而后,做事器分配一个掌握块,并相应一个 SYN ACK 数据包。做事器随后将等待从客户端收到一个 ACK 数据包。如果做事器没有收到ACK 数据包,TCP连接将处于半开状态,直到做事器从客户端收到ACK数据包或者连接由于 time-to-live(TTL)计时器设置而超时为止。在连接超时的情形下,事先分配的掌握块将被开释。
当一个攻击者故意地、重复地向做事器发送 SYN 数据包,但不对做事器发回的SYN ACK 数据包答复 ACK 数据包时,就会发生 TCP SYN 泛洪攻击。这时,做事器将会失落去对资源的掌握,无法建立任何新的合法TCP连接。
图1 tcp三次握手
UDP flood 又称UDP大水攻击或UDP淹没攻击,UDP是没有连接状态的协议,因此可以发送大量的 UDP 包到某个端口,如果是个正常的UDP运用端口,则可能滋扰正常运用,如果是没有正常运用,做事器要回送ICMP,这样则花费了做事器的处理资源,而且很容 易壅塞上行链路的带宽。
图2 syn-flood攻击图解
2、UDP flood攻击
常见的情形是利用大量UDP小包冲击DNS做事器或Radius认证做事器、流媒体视频做事器。100k pps的UDPFlood常常将线路上的骨干设备例如防火墙打瘫,造玉成部网段的瘫痪。在UDPFLOOD攻击中,攻击者可发送大量假造源IP地址的小 UDP包。
但是,由于UDP协议是无连接性的,以是只要开了一个UDP的端供词给干系做事的话,那么就可针对干系的做事进行攻击。
3、ICMP攻击
利用ICMP报文进行网络攻击紧张分为三种类型:去世亡之Ping、ICMP DoS攻击、基于重定向的路由欺骗。
1去世亡之Ping
这种攻击紧张是由于单个包的长度超过了ip协议规范所规定的包长度,去世亡之ping首先因此太网长度有限,ip包片段被分片,当一个长度超过以太网帧的最大尺寸时,包被分片,作为多个帧来发送。吸收真个机器提取各个分片,并重组为一个完全的皮包。在正常情形下,ip头包含全体ip包的长度。当一个ip包被分片往后,头只包含各个分片的长度。
分片并不包含全体ip包的长度信息,因此ip包一旦被分片,重组后的全体ip包的总长度只有在所在的分片都接管完毕之后才能确定。
在IP协议规范中规定了一个IP包的最大尺寸,而大多数的包处理程序又假设包的长度超过这个最大尺寸这种情形是不会涌现的。因此,包的重组代码所分配的内存区域也最大不超过这个最大尺寸。
这样,超大的包一旦涌现,包当中的额外数据就会被写入其他正常区域。这很随意马虎导致系统进入非稳定状态,是一种范例的缓存溢出(Buffer Overflow)攻击。在防火墙一级对这种攻击进行检测是相称难的,由于每个分片包看起来都很正常。
由于利用ping工具很随意马虎完成这种攻击,以至于它也成了这种攻击的首选武器,这也是这种攻击名字的由来。
2ICMP DoS攻击
针对带宽的Dos:
ICMP echo reply报文具有高转发优先级,攻击者向被攻击的主机发送大量源ip假造的ICMP echo request报文,被攻击主机回答主机不可达,攻击主机带宽被占用,不能正常做事,这种攻击办法哀求主句处理能力和带宽要大于被攻击主机,否则自身被Dos了。
图3 icmp dos攻击
针对连接的Dos:
针对连接的dos攻击,可以终止现有的网路连接,会影响所有的ip设备,由于它利用了合法的icmp的。通过发送一个假造的ICMP Destination Unreachable或者Redirect来终止合法的网络连接。更恶意的是如puke和smack会给某一个范围内的端口发送大量的数据包,毁掉大量的网络连接,同时还会花费受害主机cpu的时钟周期。
3基于重定向的路由欺骗
ICMP重定向报文是当主机采取非最优路由发送数据报时,设备会发回ICMP重定向报文来关照主机最优路由的存在。一样平常情形下,设备仅向主机而不向其它设备发送ICMP重定向报文,但一些恶意的攻击可能超过网段向其余一个网络的主机发送虚假的重定向报文,以改变主机的路由表,毁坏路由,滋扰主机正常的IP报文转发,并以此增强其窃听能力。
4、Smurf 攻击
与常日的Dos攻击不同,Smurf攻击并不直接对目标主机发送做事要求包。所谓的Smurf攻击是指,攻击者在远程机器上发送ICMP答应要求做事,其目标主机不是一个主机的IP地址,而是某个网络的广播地址,其要求包的源IP不是发起攻击的IP地址,而是加以伪装的将要攻击的主机IP地址。
大量的主机收到ICMP应答要求做事包后,按源IP返回要求信息,从而导致受攻击主机的做事性能低落,乃至崩溃。
图4 smurf攻击
5、Fraggle攻击
类似于Smurf,利用UDP应答而非ICMP。UDP端口7(ECHO)和端19(Chargen)在收到UDP报文后,都会产生回应。在UDP 的7号端口收到报文后,会回应收到的内容,而UDP的19号端口在收到报文后,会产生一串字符流。它们都同ICMP一样,会产生大量无用的应答报文,占满网路带宽。
攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包,端口号用7或19。子网络启用了此功能的每个别系都会向受害者的主机做出相应,从而引发大量的包,导致受害网络的壅塞或受害主机的崩溃;子网上没有启动这些功能的系统将产生一个ICMP不可达的,因而仍旧花费带宽。
也可将源端口改为Chargen。目的端口为ECHO,这样会自动一直地产生回应报文,其危害性更大。
6、land flood攻击
Land flood攻击是用一个特殊打造的syn包,它的源地址和目标地址都被设置成某一个做事器地址。此举将导致做事器向它自己的地址发送syn-ack,结果这个地址有发回ack并穿件一个空连接,被攻击的做事器没接管一个这样的连接都将保留,直到超时。
7、NTP Reply flood攻击
正常情形下,客户端向NTP做事器发送要求后,NTP做事器向客户端答复要求,流程大概如下图:
但是,可以布局UDP数据包,由于UDP没有TCP的三次握手,导致随意的数据包可以流过去,于是,将UDP数据包中源地址改成欲攻击工具的,这样返回的数据包就飞到那个不法的娃娃电脑上去了,大概流程图如下:
图5 NTP Reply flood攻击
8、Tear drop
利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部, 这便是重叠征象。)的漏洞对系统主灵活员谢绝做事攻击,终极导致主机菪掉;对付Windows系统会导致蓝屏去世机,并显示STOP 0x0000000A缺点。
对付这种类型得攻击最好的方法便是要及时为操作系统打补丁了,但是Teardrop攻击仍旧会耗费处理器的资源和主机带宽。
图6 TearDrop攻击
9、HTTP GET/POST Flood攻击
这种攻击紧张是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特色是和做事器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,范例的以小博大的攻击方法。
一样平常来说,提交一个GET或POST指令对客户真个耗费和带宽的占用是险些可以忽略的,而做事器为处理此要求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库做事器很少能支持数百个查询指令同时实行,而这对付客户端来说却是轻而易举的。
因此攻击者只需通过Proxy代理向主机做事器大量递交查询指令,只需数分钟就会把做事器资源花费掉而导申谢绝做事,常见的征象便是网站慢如蜗牛、ASP程序失落效、PHP连接数据库失落败、数据库主程序占用CPU偏高。
这种攻击的特点是可以完备绕过普通的防火墙防护,轻松找一些Proxy代理就可履行攻击,缺陷是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
图7 http get flood
10、IP Fragment攻击
fragment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(常日为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。
11、ACK flood攻击
ack攻击是tcp建立连接往后,所有的数据传输tcp报文都是带有ack标志位的,主机在吸收一个带有ack标识位的数据包的时候,须要检讨该数据包所表示的连接四元组是否合法,如果合法,然后再向运用层通报该数据包。
如果检讨中创造该数据包不合法,例如,该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应RST包见告对方该端口不存在。
比较主机收到的ack报文和syn报文时所作动作的繁芜程度,显然ACK报文带来的负载要小的多,以是在实际环境中,只有攻击程序每秒钟发送ack报文的速率达到一定程度,才能使主机和防火墙的负载大有变革。
当发送速率很大的时候,主机操作系统将耗费大量的精力吸收报文、判断状态,同事要主动回应RST报文,正常的数据包就可能无法得到及时的处理,这时候客户真个表现便是访问页面反应很慢,丢包率很高。
图8 ack flood攻击
12、HTTP Slow Header
Slow-Header的事情事理是利用在做事器真个客户闲置端超市价。如果客户端被创造闲置了超过所配置的韶光,做事器端將放弃客户端连接。
Slow-Header攻击查找做事器端设定的近似值,选择一个较低的值,然后向做事器启动一个加上Partial header的HTTP要求。它不断发送基于选择的值的header,这样客户真个空闲超时不会被触发而做事器真个要求将不能完成。
图9 Httpslow Header
13、DNS query flood攻击
DNS 做事器在吸收到域名解析要求的时候首先会在做事器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由做事器解析的时候,DNS 做事器会向其上层DNS做事器递归查询域名信息。
域名解析的过程给做事器带来了很大的负载,每秒钟域名解析要求超过一定的数量就会造成DNS做事器解析域名超时。
根据微软的统计数据,一台DNS做事器所能承受的动态域名查询的上限是每秒钟9000个要求。而我们知道,在一台P3的PC机上可以轻易地布局出每秒钟几万个域名解析要求,足以使一台硬件配置极高的DNS做事器瘫痪,由此可见DNS 做事器的薄弱性。
目前最常用的DNS做事器软件是海内领先的WINMYDNS,以及国外的Bind等。常日攻击者采取的手段包括:
常用手段
(1) 利用发包程序向DNS做事器发送不带任何负载的NULL数据包。由于数据包本身不符合协议规定,做事器在收到报文的时候将直接丢弃。因此这种攻击办法除非攻击流量比较大,否则不会有明显的效果。
(2) 利用程序布局DNS解析要求固定的域名,由于DNS做事器在解析要求的时候会在系统cache存放上一次解析的结果,这种攻击办法也须要较大的流量。
(3)向DNS做事器发起解析要求随机的、不存在的域名;这样DNS做事器就须要进行频繁的字符串匹配,由于在本地无法查到对应的结果,做事器必须利用递归查询向上层域名做事器提交解析要求,引起连锁反应。
14、DNS amplification flood攻击
通过向一系列无辜的第三方DNS做事器发送大量的查询要求(小的和欺骗性的讯问信息),这些查询要求数据包中的源IP地址为被攻击主机的IP地址,DNS做事器将大量的查询结果发送给被攻击主机,使被攻击主机所在的网络拥塞或谢绝做事。
