常见的 DDoS 的攻击方法有哪些
常见的DDoS的攻击方法有哪些?
常见的DDoS的攻击办法有如下几种:
ICMP洪水攻击
ICMP是Internet Control Message Protocol(网络控制消息协议)的缩写,是TCP/IP协议簇的一个子协议,主要用于在IP主机、路由器之间传递控制消息,进行诊断或控制,以及响应IP操作中的错误。
ICMP Flood 是指攻击者通过受控主机(僵尸网络)向目标发送大量的ICMP请求,以消耗目标的带宽资源。
UDP洪水攻击
UDP Flood是目前主要的DDoS攻击手段,攻击者通过受控主机向目标发送大量的UDP请求,以达到拒绝服务器的目的。通常,攻击者会使用小包和大包的攻击方法。小包是指以太网传输数据值最小数据包,即64字节的数据包。在相同流量中,数据包越小,使用数量也就越多。同时,由于网络设备需要对数据包进行检查,因此使用小包可增加网络设备处理数据包的压力,容易产生处理缓慢、传输延迟等拒绝服务效果。大包是指大小超过了以太网最大传输单元(MTU)的数据包,即1500字节以上的数据包。使用大包攻击能够严重消耗网络带宽资源。在接收到大包后需要进行分片和重组,因此会消耗设备性能,造成网络拥堵。
反射与放大攻击
反射攻击的原理是:攻击者并不直接攻击目标,而是利用互联网的某些特殊服务开放的服务器、路由器等设备(称为反射器),发送伪造请求。通过反射器对请求产生应答,反射攻击流量,同时达到隐藏攻击源的目的。由于攻击中涉及众多反射器的攻击形式,因此也称为分布式反射拒绝服务攻击(Distributed ReflectionDenial of Service,DRDoS)。
在进行反射攻击时,攻击者通过控制受控主机,发送大量目标IP指向作为反射器的服务器、路由器的数据包,同时将源IP地址伪造成攻击目标的IP地址。反射器在收到伪造的数据包时,会认为是攻击目标发送的请求,并发送响应的数据包给攻击目标。此时会有大量的响应数据包反馈给攻击目标,造成攻击目标带宽资源耗尽,从而产生拒绝服务。
发动反射攻击需要将请求数据包的源IP伪造成攻击目标的IP地址,这就需要使用无认证或者握手过程的协议。由于UDP协议面向无连接性的协议,与TCP相比,其需要更少的错误检查和验证,因此,大部分的反射攻击都是基于UDP协议的网络服务进行的。
放大攻击的原理是:利用请求和响应的不平衡性,以及响应包比请求包大的特点(放大流量),伪造请求包的源IP地址,将响应包引向攻击目标。
结合反射攻击原理,如果反射器能够对网络流量进行放大,那么也可称这种反射器为放大器。放大攻击的方法与反射攻击基本一致,但是造成的威胁是巨大的。
放大攻击的规模和严重程度取决于放大器的网络服务部署的广泛性。如果某些网络服务不需要验证并且效果比较好,那么在互联网上部署的数量就会比较多,利用该服务进行攻击就能达到明显消耗带宽的效果。
消耗系统资源
消耗系统资源攻击主要通过对系统维护的连接资源进行消耗,使其无法正常连接,以达到拒绝服务器的目的。此类攻击主要是因TCP安全性设计缺陷而引起的。
HTTP Flood(CC攻击)
攻击者利用受控主机对目标发起大量的HTTP请求,要求Web服务器进行处理,超量的请求会占用服务器资源,一旦目标请求饱和,并且无法响应正常流量,就会造成了拒绝服务攻击。
慢速攻击
慢速攻击依赖于慢速流量,主要针对应用程序或服务器资源。与传统的攻击不同,慢速攻击所需的带宽非常少,且难以缓解,因为其生成的流量很难与正常流量区分开。由于攻击者不需要很多资源即可启动,因此可以使用单台计算机成功发起慢速攻击。
慢速攻击以Web服务器为目标,旨在通过慢速请求捆绑每个线程,从而防止真正的用户访问该服务。这个过程通过非常缓慢地传输数据来完成,但同时又可防止服务器超时。