受害主機(jī)在DDoS攻擊下，明顯特征就是大量的不明數(shù)據(jù)報(bào)文流向受害主機(jī)，受害主機(jī)的網(wǎng)絡(luò)接入帶寬被耗盡，或者受害主機(jī)的系統(tǒng)資源(存儲(chǔ)資源和計(jì)算資源)被大量占用，甚至發(fā)生死機(jī)。前者可稱為帶寬消耗攻擊，后者稱為系統(tǒng)資源消耗攻擊，那么ddos攻擊器有哪些攻擊方法呢？

一、帶寬消耗攻擊

DDoS帶寬消耗攻擊主要為直接洪流攻擊。 直接洪流攻擊采取了簡(jiǎn)單自然的攻擊方式，它利用了攻擊方的資源優(yōu)勢(shì)，當(dāng)大量代理發(fā)出的攻擊流匯聚于目標(biāo)時(shí)，足以耗盡其Internet接入帶寬。通常用于發(fā)送的攻擊報(bào)文類型有：TCP報(bào)文(可含TCP SYN報(bào)文)，UDP報(bào)文，ICMP報(bào)文，三者可以單獨(dú)使用，也可同時(shí)使用。

1、TCP洪流攻擊

在早期的DoS攻擊中，攻擊者只發(fā)送TCP SYN報(bào)文，以消耗目標(biāo)的系統(tǒng)資源。而在DDoS攻擊中，由于攻擊者擁有更多的攻擊資源，所以攻擊者在大量發(fā)送TCP SYN報(bào)文的同時(shí)，還發(fā)送ACK, FIN, RST報(bào)文以及其他TCP普通數(shù)據(jù)報(bào)文，這稱為TCP洪流攻擊。該攻擊在消耗系統(tǒng)資源(主要由SYN，RST報(bào)文導(dǎo)致)的同時(shí)，還能擁塞受害者的網(wǎng)絡(luò)接入帶寬。由于TCP協(xié)議為TCP/IP協(xié)議中的基礎(chǔ)協(xié)議，是許多重要應(yīng)用層服務(wù)(如WEB服務(wù)，F(xiàn)TP服務(wù)等)的基礎(chǔ)，所以TCP洪流攻擊能對(duì)服務(wù)器的服務(wù)性能造成致命的影響。據(jù)研究統(tǒng)計(jì)，大多數(shù)DDoS攻擊通過(guò)TCP洪流攻擊實(shí)現(xiàn)。

2、UDP洪流攻擊

用戶數(shù)據(jù)報(bào)協(xié)議(UDP)是一個(gè)無(wú)連接協(xié)議。當(dāng)數(shù)據(jù)包經(jīng)由UDP協(xié)議發(fā)送時(shí)，發(fā)送雙方無(wú)需通過(guò)三次握手建立連接， 接收方必須接收處理該數(shù)據(jù)包。因此大量的發(fā)往受害主機(jī)UDP報(bào)文能使網(wǎng)絡(luò)飽和。在一起UDP洪流攻擊中，UDP報(bào)文發(fā)往受害系統(tǒng)的隨機(jī)或指定端口。通常，UDP洪流攻擊設(shè)定成指向目標(biāo)的隨機(jī)端口。這使得受害系統(tǒng)必須對(duì)流入數(shù)據(jù)進(jìn)行分析以確定哪個(gè)應(yīng)用服務(wù)請(qǐng)求了數(shù)據(jù)。如果受害系統(tǒng)在某個(gè)被攻擊端口沒(méi)有運(yùn)行服務(wù)，它將用ICMP報(bào)文回應(yīng)一個(gè)“目標(biāo)端口不可達(dá)”消息。通常，攻擊中的DDoS工具會(huì)偽造攻擊包的源IP地址。這有助于隱藏代理的身份，同時(shí)能確保來(lái)自受害主機(jī)的回應(yīng)消息不會(huì)返回到代理。UDP洪流攻擊同時(shí)也會(huì)擁塞受害主機(jī)周圍的網(wǎng)絡(luò)帶寬(視網(wǎng)絡(luò)構(gòu)架和線路速度而定)。因此，有時(shí)連接到受害系統(tǒng)周邊網(wǎng)絡(luò)的主機(jī)也會(huì)遭遇網(wǎng)絡(luò)連接問(wèn)題。

3、ICMP洪流攻擊

Internet 控制報(bào)文協(xié)議傳遞差錯(cuò)報(bào)文及其它網(wǎng)絡(luò)管理消息，它被用于定位網(wǎng)絡(luò)設(shè)備，確定源到端的跳數(shù)或往返時(shí)間等。一個(gè)典型的運(yùn)用就是Ping程序，其使用ICMP_ECHO REQEST報(bào)文，用戶可以向目標(biāo)發(fā)送一個(gè)請(qǐng)求消息，并收到一個(gè)帶往返時(shí)間的回應(yīng)消息。ICMP洪流攻擊就是通過(guò)代理向受害主機(jī)發(fā)送大量ICMP_ECHO_ REQEST)報(bào)文。這些報(bào)文涌往目標(biāo)并使其回應(yīng)報(bào)文，兩者合起來(lái)的流量將使受害主機(jī)網(wǎng)絡(luò)帶寬飽和。與UDP洪流攻擊一樣，ICMP洪流攻擊通常也偽造源IP地址。

二、系統(tǒng)資源消耗攻擊

DDoS系統(tǒng)資源消耗攻擊包括惡意誤用TCP/IP協(xié)議通信和發(fā)送畸形報(bào)文兩種攻擊方式。兩者都能起到占用系統(tǒng)資源的效果。具體有以下幾種：

TCP SYN攻擊。DoS的主要攻擊方式，在DDoS攻擊中仍然是最常見(jiàn)的攻擊手段之一。只不過(guò)在DDoS方式下，它的攻擊強(qiáng)度得到了成百上千倍的增加。

TCP PSH+ACK 攻擊。在TCP協(xié)議中，到達(dá)目的地的報(bào)文將進(jìn)入TCP棧的緩沖區(qū)，直到緩沖區(qū)滿了，報(bào)文才被轉(zhuǎn)送給接收系統(tǒng)。此舉是為了使系統(tǒng)清空緩沖區(qū)的次數(shù)達(dá)到最小。然而，發(fā)送者可通過(guò)發(fā)送PSH標(biāo)志為1的TCP報(bào)文來(lái)起強(qiáng)制要求接受系統(tǒng)將緩沖區(qū)的內(nèi)容清除。TCP PUSH+ACK攻擊與TCP SYN攻擊一樣目的在于耗盡受害系統(tǒng)的資源。當(dāng)代理向受害主機(jī)發(fā)送PSH和ACK標(biāo)志設(shè)為1的TCP報(bào)文時(shí)， 這些報(bào)文將使接收系統(tǒng)清除所有TCP緩沖區(qū)的數(shù)據(jù)(不管緩沖區(qū)是滿的還是非滿)，并回應(yīng)一個(gè)確認(rèn)消息。如果這個(gè)過(guò)程被大量代理重復(fù)，系統(tǒng)將無(wú)法處理大量的流入報(bào)文。 畸形報(bào)文攻擊。顧名思義，畸形報(bào)文攻擊指的是攻擊者指使代理向受害主機(jī)發(fā)送錯(cuò)誤成型的IP報(bào)文以使其崩潰。有兩種畸形報(bào)文攻擊方式。一種是IP地址攻擊，攻擊報(bào)文擁有相同的源IP和目的IP地址。它能迷惑受害主機(jī)的操作系統(tǒng)，并使其消耗大量的處理能力。另一個(gè)是IP報(bào)文可選段攻擊。攻擊報(bào)文隨機(jī)選取IP報(bào)文的可選段并將其所有的服務(wù)比特值設(shè)為1。對(duì)此，受害系統(tǒng)不得不花費(fèi)額外的處理時(shí)間來(lái)分析數(shù)據(jù)包。當(dāng)發(fā)動(dòng)攻擊的代理足夠多時(shí)，受害系統(tǒng)將失去處理能力。

三、應(yīng)用層攻擊

典型如國(guó)內(nèi)流行的傳奇假人攻擊，這種攻擊利用傀儡機(jī)，模擬了傳奇服務(wù)器的數(shù)據(jù)流，能夠完成普通傳奇戲服務(wù)器的注冊(cè)、登陸等功能，使得服務(wù)器運(yùn)行的傳奇游戲內(nèi)出現(xiàn)大量的假人，影響了正常玩家的登陸和游戲，嚴(yán)重時(shí)完全無(wú)法登陸。

通過(guò)佰佰安全網(wǎng)小編的介紹，ddos攻擊器有哪些攻擊方法大家都清楚了，如果大家還想了解更多關(guān)于網(wǎng)絡(luò)安全的知識(shí)，那就繼續(xù)瀏覽本網(wǎng)信息安全欄目里的內(nèi)容，才能更好的保護(hù)信息的不外泄。

責(zé)任編輯:張小付