常见拒绝服务攻击总结

SYN Flood

由于资源的限制,TCP/IP 协议栈只能允许有限个 TCP 连接。SYNFlood 攻击者向服务器发送伪造源地址的 SYN 报文,服务器在回应 SYNACK 报文后,由于目的地址是伪造的,因此服务器不会收到相应的 ACK 报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击主机上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。

 

TCP Flood

利用 TCP 协议漏洞制造的攻击。常见的有ACK Flood，SYN Flood，一般这两个攻击会同时出现。

 

UDP FLood

攻击者在短时间内向特定目标发送大量的 UDP 报文,致使目标系统负担过重而不能处理正常的业务。

 

DNS Query Flood

向被攻击的服务器发送大量的随即生成的或者不存在的域名解析请求,域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成 DNS服务器解析域名超时。

 

Fragment Flood
分片攻击。

 

HTTP Flood
多是 CC 攻击和慢速攻击。

 

CC 攻击

模拟多个用户(多少线程就是多少用户)不停地进行访问,访问那些需要大量数据操作,就是需要大量 CPU 时间的页面。一般为大量发送get或者post请求。

 

慢速攻击

原理和CC一样，区别在于发送第一个get或者post请求时不发送请求结束标识（\n\n）；为了让链接不断，以地速率发送垃圾报文，消耗服务器资源。

 

ICMP Flood

攻击者在短时间内向特定目标发送大量的 ICMP 请求报文(例如 Ping 报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。

 

Fragment Flood
分片攻击。

 

Fraggle

攻击者通过向目标网络发送 UDP 端口为 7 的 ECHO 报文或者 UDP 端口为 19 的 Chargen 报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的。

 

ICMP Redirect

攻击者向用户发送 ICMP 重定向报文,更改用户主机的路由表,干扰用户主机正常的 IP 报文转发。

 

ICMP unreachable

某些系统在收到不可达的 ICMP 报文后,对于后续发往此目的地的报文判断为不可达并切断对应 的网络连接。攻击者通过发送 ICMP 不可达报文,达到切断目标主机网络连接的目的。

 

LAND

攻击者向目标主机发送大量源 IP 地址和目的IP地址都是 目标主机自身的 TCPSYN 报文,使得目标主机的半连接资源耗尽,最终不能正常工作。

 

Large ICMP

某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大 ICMP 报文,让目标主机崩溃,达到攻击目的。

 

Route Record

攻击者利用 IP 报文中的 Route Record 路由选项对网络结构进行探测。

 

Smurf

攻击者向目标网络发送 ICMP 应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此 ICMP 应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的。

 

Source route

攻击者利用 IP 报文中的 Source Route 路由选项对网络结构进行探测。

 

TCP flag

不同操作系统对于非常规的 TCP 标志位有不同的处理。攻击者通过发送带有非常规 TCP 标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。

 

Tracert

攻击者连续发送 TIM 从 1 开始递增的目的端口号较大的UDP 报文,报文每经过一个路由器,其 TTL 都会减 1,当报文的 TTL 为 0 时,路由器会给报文的源 IP 设备发送一个 TTL 超时的 ICMP 报文,攻击者借此来探测网络的拓扑结构。

 

Win Nuke

攻击者向安装(或使用)Windows 系统的特定目标的NetBIOS 端口(139)发送 OOB(out-of-band)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS 片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃。