DDOS攻击的三种常见方式.pdfVIP

DDOS攻击的三种常见⽅式 SYN/ACK Flood攻击： 这种攻击⽅法是经典最有效的 DDOS攻击⽅法，可通杀各种系统的⽹络服务，主 要是通过向受害主机发送⼤量伪造源 IP和源端⼝的 SYN或 ACK包，导致主机的 缓存资源被耗尽或忙于发送回应包⽽造成拒绝服务，由于源都是伪造的故追踪起 来⽐较困难，缺点是实施起来有⼀定难度，需要⾼带宽的僵⼫主机⽀持。少量的 这种攻击会导致主机服务器⽆法访问，但却可以 Ping的通，在服务器上⽤ Netstat -na命令会观察到存在⼤量的 SYN_RECEIVED状态，⼤量的这种攻击会 导致 Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和⿏标。 普通防⽕墙⼤多⽆法抵御此种攻击。 TCP全连接攻击： 这种攻击是为了绕过常规防⽕墙的检查⽽设计的，⼀般情况下，常规防⽕墙⼤多 具备过滤 TearDrop、Land等 DOS攻击的能⼒，但对于正常的 TCP连接是放过的， 殊不知很多⽹络服务程序（如：IIS、Apache等 Web服务器）能接受的 TCP连接 数是有限的，⼀旦有⼤量的 TCP连接，即便是正常的，也会导致⽹站访问⾮常缓 慢甚⾄⽆法访问，TCP全连接攻击就是通过许多僵⼫主机不断地与受害服务器建 ⽴⼤量的 TCP连接，直到服务器的内存等资源被耗尽⽽被拖跨，从⽽造成拒绝服 务，这种攻击的特点是可绕过⼀般防⽕墙的防护⽽达到攻击⽬的，缺点是需要找 很多僵⼫主机，并且由于僵⼫主机的 IP是暴露的，因此此种 DDOS攻击⽅式容易 被追踪。 刷 Script脚本攻击： 这种攻击主要是针对存在 ASP、JSP、PHP、CGI等脚本程序，并调⽤ MSSQLServer、 MySQLServer、Oracle等数据库的⽹站系统⽽设计的，特征是和服务器建⽴正常 的 TCP连接，并不断的向脚本程序提交查询、列表等⼤量耗费数据库资源的调⽤， 典型的以⼩博⼤的攻击⽅法。⼀般来说，提交⼀个 GET或 POST指令对客户端的 耗费和带宽的占⽤是⼏乎可以忽略的，⽽服务器为处理此请求却可能要从上万条 记录中去查出某个记录，这种处理过程对资源的耗费是很⼤的，常见的数据库服 务器很少能⽀持数百个查询指令同时执⾏，⽽这对于客户端来说却是轻⽽易举 的，因此攻击者只需通过 Proxy代理向主机服务器⼤量递交查询指令，只需数分 钟就会把服务器资源消耗掉⽽导致拒绝服务，常见的现象就是⽹站慢如蜗⽜、ASP 程序失效、PHP连接数据库失败、数据库主程序占⽤ CPU偏⾼。这种攻击的特点 是可以完全绕过普通的防⽕墙防护，轻松找⼀些 Proxy代理就可实施攻击，缺点 是对付只有静态页⾯的⽹站效果会⼤打折扣，并且有些 Proxy会暴露 DDOS攻击 者的 IP地址。 攻击原理 ⽬前 DDoS攻击主要分为两类：带宽耗尽型和资源耗尽型。 带宽耗尽型主要是堵塞⽬标⽹络的出⼝，导致带宽消耗不能提供正常的上⽹服 务。例如常见的 Smurf攻击、UDP Flood攻击、MStream Flood攻击等。针对此 类攻击⼀般采取的措施就是 QoS，在路由器或防⽕墙上针对此类数据流限制流 量，从⽽保证正常带宽的使⽤。单纯带宽耗尽型攻击较易被识别，并被丢弃