DDoS的类型及原理

1、DDoS攻击：

DDOS(Distributed Denial of Service)，又称分布式拒绝服务攻击。黑客通过控制多个肉鸡或服务器组成的僵尸网络，对目标发送大量看似合法请求，从而占用大量网络资源，瘫痪网络，阻止用户对网络资源的正常访问。

2、攻击类型：

2.1 攻击网络带宽资源

2.1.1 直接攻击

　　攻击者可以使用ICMP洪水攻击、 UDP洪水攻击等方式直接对被攻击目标展开消耗网络带宽资源的分布式拒绝服务攻击 。

• ICMP洪水攻击

　　因特网控制报文协议（Internet Control Message Protocol，ICMP），它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。　　

　　ICMP洪水攻击是指受控主机向目标主机（被攻击主机）发送大量的ICMP报文，目标主机（被攻击主机）在收到ICMP报文后必须给源主机（受控主机）发送ICMP回送应答报文，这将会消耗目标主机（被攻击主机）的网络带宽资源。

• UDP洪水攻击

　　用户数据报协议（User Datagram Protocol，UDP），是一个面向无连接的Internet传输层协议。

　　UDP洪水攻击的原理和ICMP洪水攻击原理基本相同，受控主机向目标主机（被攻击主机）发送大量的UDP数据报，目标主机（被攻击主机）在收到UDP数据报后必须要进行相应的处理（例如对数据报进行检查、校验和重组（当数据报大于最大传输单元（MTU）时）），这将会消耗目标主机（被攻击主机）的网络带宽资源。

2.1.2 反射攻击

　　反射攻击中，攻击者利用受控主机向网络中的服务器、路由器等设备发送大量的数据报，这些数据报中，源IP地址被伪造成将要被攻击的主机的IP地址，目的IP地址指向作为反射设备（服务器、路由器等设备）。反射设备在收到数据报后，反射设备将以为是由将要被攻击的设备发来的，因此发射设备将给将要被攻击的设备发送响应数据。

• ACK反射攻击

　　在传输控制协议（Transmission Control Protocol， TCP） 的三次握手中，服务器在收到客户端发来的SYN连接请求数据报后，服务器将立即给客户端发送ACK应答数据报。反射攻击便可以发生在此过程中，攻击者将受控主机发出的数据报中的源IP地址伪造成客户端设备（被攻击设备）IP地址，目标地址则指向发射设备。

2.1.3 攻击链路

　　攻击链路不直接攻击目标主机，而是通过僵尸主机占用连接目标主机线路资源，这样将使得目标主机的收发数据很难通过被占用的线路。

　　最典型的攻击方式是Coremelt攻击，在该攻击方式中，攻击者通过traceroute等手段来判断各个僵尸主机和将要攻击的链路之间的位置关系， 并根据结果将僵尸主机分为两个部分。 然后，攻击者控制僵尸主机， 使其与链路另一侧的每一台僵尸主机进行通信并收发大量数据， 这样， 大量的网络数据包就会经过骨干网上的被攻击链路， 造成网络拥堵和延时。

2.2 攻击系统资源

　　在TCP的三次握手中，当客户端向服务器发送SYN连接请求时，服务器需要为新建立连接的TCP分配相关资源，连接建立后，在发送消息的过程中同样要维护相关的资源，并且在相关的状态发生变化时要及时更新。当有大量的相关请求到达时，服务器的系统资源可能被分配完，导致正常需要资源的客户端无法取得相应资源。

2.3 攻击应用资源

　　包括攻击DNS和Web服务。