举一个更恰当的生活例子:一家餐厅,在正常情况下最多可携带100人就餐,由于同行竞争,对面酒店老板雇了200名社会黑帮人士在餐厅就餐,导致酒店客满,无法再接受正常客人在餐厅就餐。这就是DDOS攻击,它使用流量来填满服务器的带宽,从而不会产生多余的带宽来为用户提供网站访问。
DDOS流量攻击种类众多,咱们就在网上找了一些主流的攻击类型:UDP-flood、TCP-flood、ICMP-flood、TCP/UPD/ICMP分片式、SYN-flood、ACK-flood、zeroWindow、SSL-flood、SSLkeyrenego、DNS反射性放大、NTS反射、NTP反射,SNMP反射、SSDP反射、Chargen反射等等攻击方式,攻击复杂多样。下面咱们会细细的给大家说每种攻击方式的。
UDP-flood是一种属于UDP协议的流量攻击。这种攻击的特点是伪造大量的真实IP,并发送少量的数据包发送到要攻击的服务器。只要服务器打开UDP端口,就会受到流量的攻击。如何防御这种流量攻击,设置UDP的数据包大小,严格丢弃控制发送的数据包大小,丢弃超过一定值的数据包。另一种防御方法是只有建立了TCP链路的IP才能发送UDP包,否则IP就可以被直接屏蔽。
ICMP是利用ICMP协议攻击服务器PING,扩大ICMP的长度,以及攻击服务器的数据包字节数。TCP洪水攻击是利用TCP三方握手协议进行攻击的一种攻击。攻击是专门伪造大量真实IP连接到被攻击服务器,导致服务器无法承载更多的TCP连接而导致服务器瘫痪。
SYN Flood使用SYN协议,客户端协议发送SYN数据,服务器接收并响应SYN和ACK反射,攻击者利用这种方式模拟大量客户端连接发送数据包,导致服务器瘫痪。
ACK Flood攻击与上面的SYN攻击类似,都是同样用来向服务器端发送数据包,攻击者利用ACK数据包进行攻击,只要服务器接受ACK数据包,那么服务器就会造成过多的ACK连接导致服务器资源耗尽,服务器没有多余的资源来接收ACK数据包,服务器将无法打开。
SSL Flood是使用客户端与SSL通道不断握手。SSL的资源比普通用户访问HTTP网站所消耗的资源要多出几十倍。低配置的服务器不能承载SSL的多个请求和握手,导致服务器CPU占用90%,没有额外的CPU来处理用户的访问。如何防御SSL流量攻击:禁用重新协商的安全机制来防御大量SSL流量攻击。
反射攻击,无论是DNS反射还是NTP反射,都是UDP协议攻击。UDP协议访问用户发送到服务器的请求数据包,以及服务器对客户端的反馈。然后客户端向服务器发送请求包,伪造用户的IP,服务器的IP、服务器IP向服务器IP发送包,导致反射攻击。
DNS反射攻击也是如此,它通过解析DNS服务器来攻击,伪造服务器IP,攻击DNS查询,查询DNS服务器。DNS服务器将数据包返回到服务器IP进行攻击。
