ddos攻击

DDoS攻击的类型

  • 发表作者:
  • 帖子类别:DDoS保护
  • 阅读时间:10分钟阅读

在过去的二十年里,许多企业和政府越来越关注不同类型的 DDoS 攻击的传播。 1996年首次报道,分布式拒绝服务 (DDoS) 攻击是一系列破坏性且不断发展的网络威胁,它们通过向电子网络充斥无法处理的流量来破坏电子网络。

黑客行动主义者可以使用 DDoS 攻击来表明他们对互联网审查和其他有争议的举措的抗议。 它还为黑客追求邪恶目标开辟了各种途径。 DDoS 流行的最新变化是“赎金 DDoS”,这是一个平台,黑客可以通过该平台向组织勒索钱财,以换取阻止大规模入侵。

DDoS 是一种复杂的现象,由于其异构性质和多种策略,因此很难被击败。

有三个基本的 c讽刺 构成该生态系统核心的 DDoS 攻击:

体积 DDoS 攻击

体积攻击是最常见的 DDoS 攻击类型。 尽管它们产生大量流量,有时超过 100 Gbps,但黑客不必产生太多流量。 这使得体积攻击成为最简单的 DDoS 攻击类型之一,因为您可以通过欺骗性 IP 地址使用少量攻击流量来生成千兆位。

基于镜像的容量攻击用于针对服务。 他们使用欺骗性 IP 地址向 DNS 和 NTP 服务器发送合法请求。 当 DNS 服务器或 NTP 服务器响应时,它们会回复合法请求。 这通常是欺骗性的 IP 地址。 在这种情况下,攻击的目标是欺骗性的 URL 地址,然后在放大的数据流中对其进行轰炸。

基于协议的 DDoS 攻击

协议攻击旨在利用 OSI 层的第 3 层和第 4 层中的弱点。 TCP Syn Flood 是最著名的协议攻击。 这涉及向目标发送一系列 TCP SYN 命令,这可能会使目标不堪重负并使其无响应。 除了对应用程序的攻击之外,最近的 Dyn 中断还包括 TCP Syn 淹没 Dyn 服务器的 53 端口。 最终,协议攻击旨在耗尽服务器资源或防火墙资源。

基于应用程序的 DDoS 攻击

针对应用程序的 DDoS 攻击最难检测,在某些情况下甚至可以缓解。 应用层攻击是最复杂、最隐蔽的攻击,因为它们可以仅使用一台攻击者机器以低速率生成流量。 使用传统的基于流的监控系统很难检测到这些攻击。

使用应用层攻击的黑客对所涉及的协议和应用程序有深入的了解。 针对应用层的攻击流量通常是合法的。 它涉及激活一个占用资源并使资源不可用的后端进程,从而使此类攻击更难以预防。

最近,基于云的 DNS 服务提供商 NS1 遭受了针对其任播 DNS 基础设施的 DDoS 攻击。 一些最著名的网站,例如 Yelp,都受到了这次攻击的影响。 NS1 证实了这次攻击,并表示这是容量和应用层攻击的组合,包括格式错误的数据包攻击和恶意的直接 DNS 查询。 攻击者攻击了 NS1 的基础设施和他们的托管服务提供商,导致他们的网站瘫痪。

除了上面提到的这三类之外,DDoS 攻击还分为几十个子类,它们属于三个主要类别中的任何一个,并显示出一些独特的特征。


以下是现代 DDoS 攻击类型的更多示例:

SYN Flood DDoS 攻击

这种攻击利用了 TCP 的三向握手,用于在客户端、主机和服务器之间使用 TCP 协议建立任何连接。 客户端通常会向主机发送 SYN(同步)消息以请求连接。

SYN 洪水攻击涉及从欺骗地址发送大量消息。 结果是接收服务器无法处理或存储尽可能多的 SYN 文件并拒绝为客户端提供服务。

LAND DDoS 攻击

为了执行局域网拒绝攻击 (LAND),威胁参与者会发送一个伪造的 SYN 邮件,其中的目标和源 IP 地址是相同的。 当目标服务器尝试响应此消息时,它会创建对自身的循环回复。 这会导致错误场景,最终可能导致目标主机无法响应。

SYN-ACK Flood DDoS 攻击

此攻击向量利用 TCP 通信阶段,其中服务器生成 SYN-ACK 数据包以确认客户端的请求。 骗子用大量流氓 SYNACK 数据包淹没目标服务器的 RAM 和 CPU,以执行这些 DDoS 攻击。

ACK & PUSH ACK Flood DDoS 攻击

一旦 TCP 三向握手建立了连接,ACK 和 PUSH ACK 数据包就可以背靠背发送,直到会话结束。 遭受这些 DDoS 攻击的目标服务器无法识别伪造数据包的来源,因此浪费其处理资源试图确定应该如何处理它们。

碎片 ACK 洪水攻击

这种类型的 DDoS 攻击是对 ACK & PUSH ACK Flood 技术的仿冒。 它们是简单的 DDoS 攻击,用有限数量的碎片 ACK 数据包淹没目标计算机网络。 每个 ACK​​ 数据包的最大大小为 1500 字节。 路由器和其他网络设备试图重新组装这些碎片化的数据包是一个常见的问题。 入侵防御系统 (IPS) 可以检测碎片化数据包并阻止它们到达防火墙。

欺骗会话泛滥(假会话攻击)

网络犯罪分子可以使用伪造的 SYN 数据包绕过网络保护工具。 他们还提交多个 ACK​​ 数据包和至少一个 RST 或 FIN 数据包。 这允许犯罪分子绕过专注于传入流量而不是返回流量分析的防御。

UDP 泛洪攻击

这些 DDoS 攻击利用多个用户数据报协议 (UDP) 数据包。 UDP 连接没有像 TCP 那样的握手机制,因此 IP 地址验证的选项是有限的。 这种利用产生的虚拟流量超过了处理和响应请求的最大服务器容量。

DNS洪水攻击

这是 UDP Flood 的一种变体,它专门针对 DNS 服务器。 此恶意因素会创建看似合法且似乎来自许多不同 IP 地址的虚假 DNS 请求数据包。 DNS Flood 是最难检测和恢复的拒绝服务 DDoS 攻击之一。

VoIP泛洪攻击

这种 DDoS 攻击是最流行的 DDoS 攻击类型之一,它的目标是互联网协议语音 (VoIP) 服务器。 从许多 IP 地址发送大量欺诈性 VoIP 请求,以耗尽目标服务器的资源并将其击倒。

NTP洪水攻击

网络时间协议 (NTP) 是一种网络协议,从一开始就存在,负责电子设备之间的时钟同步,是另一个 DDoS 攻击向量的关键。 目标是使用可公开访问的 NTP 服务器使目标网络过载 UDP 数据包。

CHARGEN洪水攻击

与 NTP 类似,字符生成器协议或 CHARGEN 是 NTP 的旧版本。 它是在 1980 年代开发的。 尽管如此,它仍在某些连接的设备上使用,如打印机和复印机。 它涉及向启用了 CHARGEN 协议的设备发送包含受害服务器伪造 IP 的小数据包。 面向 Internet 的设备向受害服务器发送 UDP 泛洪数据包作为响应。 这会使服务器充满冗余数据。

SSDP 洪水攻击

通过对运行通用即插即用服务 (UPnP) 的联网设备执行基于简单服务发现协议 (SSDP) 反射的 DDoS 攻击,不法分子可以利用这些设备。 攻击者将包含虚假 IP 地址的小型 UDP 数据包发送到多个支持 UPnP 的设备。 服务器被这些请求淹没,直到它被迫关闭。

HTTP 泛洪攻击

在这些类型的 DDoS 攻击中,攻击者向服务器或 Web 应用程序发送表面上合法的 GET/POST 请求,从而窃取大部分或全部资源。 该技术涉及由先前已被恶意软件感染的“僵尸计算机”组成的僵尸网络。

您准备好应对这些类型的 DDoS 攻击了吗? 得到 高级 DDoS 保护 为您的网站现在无需切换主机。