16种常见DDoS攻击类型及其原理解析

随着大多数企业走向数字化，分布式拒绝服务 (DDoS) 攻击变得普遍。黑客主要对网站、应用程序和其它基于互联网的服务进行攻击。他们还可以对内部网络资源、特定计算机和网关使用DDoS攻击。

在这两种情况下，黑客都会试图压垮服务器，从而削弱其运行，甚至是系统崩溃。目前DDoS攻击有多种类型，主要可以分为三大类。这些类别包括协议、应用程序和流量DDoS攻击。另外，还有一些其它DDoS攻击，但比较少见，也不属于这些类别，本文将重点介绍这三个类别中可用的16种DDoS类型。

什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击是一种网络犯罪行为，其中恶意方试图通过用互联网流量淹没目标及其基础设施来破坏目标应用程序、服务器或网络的正常运行。所以小编建议大家千万不要使用DDoS服务攻击别人，这是一种违法违规操作。

DDoS攻击通常是针对在线服务和系统而设计的，当这些服务和系统不堪重负时，就无法正常运行并最终崩溃。你可以将DDoS攻击想象为一百个人试图通过一个出口，最终堵塞出口并限制他人离开建筑物的活动。以下是不同类型的DDoS攻击及其工作原理，大家可以了解下，对于个人站长和企业来说，可以更好的做好防护措施。

体积DDoS攻击

体积DDoS攻击通常会淹没并最终淹没目标资源的容量。该攻击利用请求来压垮服务器、网络流量和数据库调用。大容量体积DDoS攻击会使目标网站的互联网带宽饱和。体积DDoS攻击有多种类型，下面将分别介绍下。

1、UDP洪水攻击 

UDP洪水攻击会发送多个数据包来淹没侦听这些数据包的主机。数据包到达服务器，服务器尝试分配与这些数据包相对应的应用程序。这些应用程序分配会触发服务器内的进程，最终压垮服务器。大多数攻击者使用通常嵌入UDP数据包中的IP地址和端口来瞄准互联网和基于网络的服务器。

UDP洪水攻击有两种变体：UDP碎片洪水和特定UDP放大攻击。UDP碎片洪水攻击将大的碎片数据包发送到目标服务器，目标服务器尝试组装这些UDP数据包碎片，这一过程会使服务器不堪重负。此外，特定UDP放大攻击会向许多合法服务器发送合法的UDP请求，它将目标服务器包含在进程中并欺骗其IP地址。结果是，受害服务器收到来自合法服务器的所有响应，最终导致其崩溃。NTP、SSDP、SNMP是放大攻击中常用的协议。

2、ICMP（Ping）洪水攻击

在这种 DDoS 攻击下，恶意方使用多个设备向服务器发送欺骗性ping数据包，而不等待响应。由于Internet控制消息协议（ICMP）要求服务器在收到请求后做出响应，因此用这些ping数据包淹没服务器会消耗传出和传入带宽，最终使服务器不堪重负。 

3、ICMP碎片洪水攻击

ICMP碎片洪水攻击的工作方式与ICMP洪水攻击方式相同。但是，它发送的是分段ping数据包，而不是完整形成的数据包。结果，目标服务器尝试重建这些欺骗性的ICMP分段数据包，从而导致流量增加。流量超过了服务器可用资源，导致服务器失败。 

4、滥用应用程序攻击

在滥用应用程序攻击中，恶意方利用合法服务器上受损合法应用程序。该应用程序必须具有高流量，黑客在退出系统之前将其重定向到目标服务器。这种DDoS攻击是自主发生的，合法数据包从受感染的应用程序发送到服务器。因此，大多数防御机制都会错过这种攻击，最终，受害服务器会因流量增加而不堪重负。 

5、CharGen洪水攻击

事实上，CharGen协议最初旨在用于测量、测试和调试。服务器使用端口19发送传输控制协议（TCP）或UDP协议，然后接收方使用任一协议进行响应以发送请求。 

恶意方在向支持CharGen的互联网设备发送多个请求之前，会通过欺骗受害服务器的IP地址来使用CharGen协议。设备响应并通过端口19流量淹没服务器。此时，只有防火墙封锁19端口，服务器才有可能存活。否则，系统就会崩溃。 

应用程序DDoS攻击

应用程序DDoS攻击会寻找应用程序中的漏洞并使其失败。他们专注于第7层软件，导致内存耗尽和CPU过载，从而影响服务器和其它应用程序。让我们看看不同类型的应用程序DDoS攻击。

6、HTTP洪水攻击 

HTTP洪水攻击使用HTTP命令来淹没网站及其托管服务器。该攻击使用机器人发送多个请求，增加受害者网站接收的数据流量。僵尸网络发送的一些请求包括GET请求和POST请求。

7、ReDoS攻击

恶意方在使用正则表达式拒绝服务（ReDoS）时请求高度复杂的搜索模式。由于这些模式在算法上很复杂，因此浪费了服务器资源，最终导致系统崩溃。

协议DDoS攻击

协议DDoS攻击通过压倒服务器或防火墙来滥用协议。该方法不使用绝对数量，一般以每秒数据包来衡量攻击。让我们看看其中的一些类型。

8、IP Null攻击

Internet协议4版本具有指定所使用的传输协议的标头。所有符合Internet协议4的数据包都使用此协议。攻击者可以通过将标头设置为空值来利用此漏洞。服务器不会有特定的指令来丢弃传入的数据包并消耗所有资源来确定这些数据包的传递方法。

9、TCP洪水攻击

不同设备之间通过网络进行的通信由传输控制协议（TCP）控制。TCP洪水攻击通过欺骗滥用协议，导致系统资源不堪重负。

TCP有三个通信序列，通过四部分序列结束。当服务器收到意外的TCP时，它会发送重置（RST）数据包作为对策。TCP洪水攻击旨在通过使用格式错误的TCP传输来滥用TCP协议，从而导致资源崩溃。

TCP洪水攻击类型包括：

• SYN洪水攻击：掩码IP地址发送许多SYN请求数据包。目标服务器通过SYN-ACK数据包响应来保持通信带宽开放。
• SYN-ACK洪水攻击：大量欺骗性SYN-ACK响应被发送到目标服务器，然后服务器会占用资源来匹配不存在的SYN请求。
• ACK洪水攻击：它们通过向目标服务器发送许多欺骗性的ACK响应来实施此攻击。当服务器尝试将ACK响应与SYN-ACK数据包进行匹配时，这会占用资源。对于这种攻击，还有一种替代方案，即使用TCP推送功能。
• ACK碎片洪水攻击：碎片数据包用于滥用最大IP数据包长度。目标服务器将尝试重建碎片数据包，但不会成功。重建超出了分配的资源，导致内存溢出错误。
• FIN洪水攻击：攻击者试图将伪造的RST或FIN数据包与伪造的开放TCP会话进行匹配，从而占用服务器并耗尽资源。
• 多个ACK​​欺骗会话洪水攻击：攻击者重复发送ACK数据包，然后发送FIN或RS 数据包，以更接近真实的TCP流量并欺骗安全措施。服务器使用资源将假数据包与打开的TCP会话进行匹配。
• 多个SYN-ACK欺骗会话洪水攻击：多个SYN和ACK数据包与FIN和RST数据包一起使用。该方法通过将假数据包与真实数据包匹配来复制真实的TCP流量，这会消耗服务器资源。
• 同义IP攻击：攻击者通过欺骗SYN数据包来使用此策略，其中目标服务器的IP地址作为数据包的源和目的地。当服务器尝试响应自身（也称为局域网拒绝攻击或LAND攻击）或处理从自身接收数据包时，无意义数据包会耗尽资源。

10、Slowloris攻击

Slowloris攻击旨在通过填充空通信来耗尽服务器资源。攻击者必须尽可能长时间地保持会话打开和运行。它们向Web服务器发送部分HTTP请求以保持会话运行。识别这种攻击并不容易，因为它使用的带宽非常少。 

11、会话攻击

在这种方法中，攻击者不需要屏蔽他们的IP地址或使用隐藏数据包来发起DDoS攻击。使用多个机器人来达到源IP的最佳范围或超出该范围以启动与目标服务器的允许连接。DDoS攻击可以避免检测，因为它使用来自真实IP地址的合法TCP会话。然而，它会延迟ACK数据包以消耗带宽，并通过保持空闲会话打开来耗尽资源。

12、死亡PING攻击

IP数据包的最大长度为65,535字节。死亡PING攻击就像ACK碎片洪水攻击一样滥用这个长度。通过网络发送数据的帧大小为1,500字节。这些攻击者发送大量符合以太网限制的IP片段，但会组合成一个超过最大IP数据包长度的数据包。计算机可能会在此过程中崩溃或溢出分配给数据包的内存缓冲区。

13、Fraggle攻击 

Fraggle攻击是Smurf攻击的一种变体，它欺骗UDP数据包而不是ICMP数据包，用流量淹没目标计算机，并以网络路由器的广播地址为目标。所有响应UDP请求的网络设备都可能导致接收设备过载。这种攻击的有效性会降低，因为大多数现代路由器不会自动转发发送到广播地址的数据包。

14、Smurf攻击

Smurf恶意软件程序向路由器的广播地址发送多个ICMP ping请求，同时使用IP和ICMP协议欺骗目标设备的IP地址。当网络上的每个设备回复ping请求时，接收设备可能会过载。此方法效果较差，因为大多数路由器不会自动转发发送到广播地址的数据包。

15、高轨道离子炮（HOIC）

当前高轨道离子炮程序已经取代了低轨道离子炮，因为它可以同时向多达256个不同的网站发送许多GET和HTTP POST请求。当激进的攻击者应用HOIC时，HOIC可能比LOIC更有效且更具破坏性。

16、低轨道离子炮（LOIC）

实际上，低轨道离子炮开源软件是作为网络压力测试工具开发的，可将许多数据包（UPD、TCP 和 HTTP）发送到目标设备。攻击者利用该技术从僵尸网络发起DDoS攻击。

DDoS攻击背后原因分析

DDoS攻击已成为最常见的网络威胁。发动攻击动机是什么？为什么攻击次数会增加？接下来简单分享一下这些攻击背后的一些原因。

1. 商业竞争；经营的个人或企业可能很困难，尤其是在面临激烈竞争时。DDoS攻击可用于对付竞争对手的网站并破坏其运营。
2. 网络勒索；DDoS攻击用于从目标中快速获利。犯罪者侵入你的服务器并索要金钱回报。经济效益是推动因素。
3. 网络战；这是一种常见黑客行为，它通过破坏对方的计算机网络和系统，刺探机密信息达到自身的政治目的，甚至有用于国家之间的情形。
4. 不同的意识形态；人们在某些问题上有不同的观点和意识形态，DDoS攻击可以针对信息具有误导性或与攻击者不兼容的网站。

如何有效防止DDoS攻击

上面已经介绍了常见类型的DDoS攻击，那么究竟如何防止它们发生？以下是你可以使用的一些方法：

• 服务器冗余；可以使用服务器冗余来确保系统即使在遭受DDoS攻击后仍保持在线状态。冗余需要拥有多个Wave服务器，从而确保你在遭受DDoS攻击时的安全。然而，冗余仅有时有效，因为一些黑客同时针对多个网络服务器。
• DDoS防御系统（DDS）；可以使用Impervia和Akamai等反DDoS工具和服务来保护你的系统。DDS会检测可能损害你的系统的看似合法的内容并阻止它们。DDS可以保护你的系统免受容量攻击和协议攻击。
• 速率限制；可以限制服务器在给定时间范围内可以处理的请求数量，从而减少服务器因请求而不堪重负的可能性。
• 实时数据包分析；可以在数据包进入系统时使用规则对其进行分析。然后，发现包含潜在恶意内容的任何数据包都会被阻止。
• 租用高防服务器；实施DDoS攻击防护具有一定的技术要求，如果你不懂这方面知识，或只是个人站长，那么最简单有效方法就是租用高防服务器。现在高防服务器都带有高防御能力，能够有效防御大流量攻击清洗DDoS攻击。

如今，大多数企业都在网上运营，从而为恶意方的DDoS攻击铺平了道路。黑客每天都在进步，并开发出更先进且无法检测的DDoS攻击方法。为了确保你的系统或网站顺利运行，可以使用上述预防方法来保护自己数据安全和网站正常运营。

常见问题整理

1、DDoS攻击是什么意思？

DDoS（分布式拒绝服务）攻击是一种恶意尝试，通过使用来自多个来源的大量互联网流量压垮目标，破坏目标服务器、服务或网络的正常流量。这可以通过使用僵尸网络来实现，僵尸网络是一组已被攻击者破坏和控制的计算机或其它设备。DDoS攻击的目标是使其用户无法使用目标资源，从而导致收入损失、声誉受损或其他负面后果。

2、如何防范DDoS攻击？

3、防病毒软件可以防止DDoS攻击吗？