分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊中常見的攻擊方式。分布式拒絕服務(wù)攻擊(DDoS)是指不同位置的多個(gè)攻擊者同時(shí)攻擊一個(gè)或多個(gè)目標(biāo)，或者一個(gè)攻擊者控制不同位置的多臺機(jī)器，并使用這些機(jī)器同時(shí)攻擊受害者。由于攻擊點(diǎn)分布在不同的地方，這種攻擊稱為分布式拒絕服務(wù)攻擊，其中可以有多個(gè)攻擊者。

1.UDP Flood：UDP協(xié)議是一種無連接服務(wù)。在UDP Flood中，攻擊者通常會發(fā)送大量偽造源IP地址的小UDP數(shù)據(jù)包來攻擊DNS服務(wù)器、Radius認(rèn)證服務(wù)器和流媒體視頻服務(wù)器。10萬bps的UDP Flood經(jīng)常會癱瘓線路上的骨干設(shè)備，比如防火墻，造成整個(gè)網(wǎng)段癱瘓。上述傳統(tǒng)流量攻擊方式技術(shù)含量低，造成1000人受傷，800人自損。攻擊效果通常取決于被控主機(jī)本身的網(wǎng)絡(luò)性能，很容易找到攻擊源，因此單獨(dú)使用并不常見。于是出現(xiàn)了四兩千磅效果的反射式放大攻擊。

2.CC攻擊：CC攻擊是目前應(yīng)用層的主要攻擊手段之一，利用代理服務(wù)器產(chǎn)生指向目標(biāo)系統(tǒng)的合法請求，實(shí)現(xiàn)偽裝和DDOS。我們都有這樣的經(jīng)歷。訪問一個(gè)靜態(tài)頁面不需要太長時(shí)間，即使人很多。但是，如果你訪問論壇、貼吧等。高峰時(shí)期會非常慢，因?yàn)榉?wù)器系統(tǒng)需要去數(shù)據(jù)庫判斷訪客是否有權(quán)限看帖子、說話等。訪問量越大，論壇的頁面越多，對數(shù)據(jù)庫的壓力越大，被訪問的頻率越高，占用的系統(tǒng)資源也相當(dāng)可觀。CC攻擊充分利用了這一特性，模擬很多正常用戶不斷訪問論壇等需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費(fèi)。CPU長時(shí)間處于100%，總是有無窮無盡的請求需要處理。網(wǎng)絡(luò)擁塞，正常訪問被暫停。這種攻擊技術(shù)含量高，看不到真實(shí)的源IP和異常流量，而服務(wù)器就是無法正常連接。

3.SYN Flood：這是一種利用TCP協(xié)議的缺陷，發(fā)送大量偽造的TCP連接請求，從而使被攻擊方資源耗盡(CPU已滿或內(nèi)存不足)的攻擊方法。建立TCP連接需要三次握手——客戶端發(fā)送SYN消息，服務(wù)器接收請求并返回消息表示接受，客戶端也返回確認(rèn)完成連接。SYN Flood是指用戶在向服務(wù)器發(fā)送消息后突然崩潰或掉線，因此服務(wù)器在發(fā)送回復(fù)消息后無法收到客戶端的確認(rèn)消息(第一次三次握手無法完成)。此時(shí)，服務(wù)器通常會重試并等待一段時(shí)間，然后丟棄未完成的連接。服務(wù)器的一個(gè)線程因?yàn)橛脩舻漠惓６却欢螘r(shí)間并不是什么大問題，但是惡意攻擊者大量模擬這種情況，服務(wù)器為了維持幾萬個(gè)半連接，消耗了大量資源，結(jié)果往往忙得顧不上客戶的正常請求，甚至崩潰。從正常客戶的角度來看，網(wǎng)站反應(yīng)遲鈍，無法訪問。

4.DNS Query Flood：作為互聯(lián)網(wǎng)的核心服務(wù)之一，DNS也是DDOS攻擊的主要目標(biāo)。DNS Query Flood使用的方法是操縱大量傀儡機(jī)，向目標(biāo)服務(wù)器發(fā)送大量域名解析請求。當(dāng)服務(wù)器收到域名解析請求時(shí)，會先查找服務(wù)器上是否有對應(yīng)的緩存，如果找不到且無法直接解析域名，會遞歸向其上層DNS服務(wù)器查詢域名信息。通常，攻擊者請求的域名是隨機(jī)生成的，或者根本不存在于網(wǎng)絡(luò)中。由于在本地找不到相應(yīng)的結(jié)果，服務(wù)器必須使用遞歸查詢將解析請求提交給上層域名服務(wù)器，造成連鎖反應(yīng)。解析過程給服務(wù)器帶來了很大的負(fù)載，當(dāng)域名解析請求數(shù)超過每秒一定數(shù)量時(shí)，DNS服務(wù)器就會超時(shí)。根據(jù)微軟的統(tǒng)計(jì)，一臺DNS服務(wù)器可以承受的動態(tài)域名查詢上限是每秒9000個(gè)請求。然而，一臺P3 PC每秒可以輕松構(gòu)造上萬個(gè)域名解析請求，足以癱瘓一臺硬件配置極高的DNS服務(wù)器，由此可見DNS服務(wù)器的脆弱性。

5.ICMP Flood：ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)用于在IP主機(jī)和路由器之間傳輸控制消息。控制消息指的是網(wǎng)絡(luò)本身的消息，比如網(wǎng)絡(luò)是否無法通行，主機(jī)是否可達(dá)，路由是否可用等。雖然它不傳輸用戶數(shù)據(jù)，但它在用戶數(shù)據(jù)傳輸中起著重要的作用。通過向目標(biāo)系統(tǒng)發(fā)送大量數(shù)據(jù)包，目標(biāo)主機(jī)可能會癱瘓。如果發(fā)送大量數(shù)據(jù)包，將成為洪水攻擊。

6.混合攻擊：實(shí)際情況中，攻擊者只想打敗對方。到目前為止，高級攻擊者不再傾向于使用單一的攻擊手段進(jìn)行戰(zhàn)斗，而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境發(fā)動多種攻擊手段，不僅流量大，而且利用協(xié)議和系統(tǒng)的缺陷盡可能多地發(fā)動攻勢。對于被攻擊的目標(biāo)，需要面對不同協(xié)議和資源的分布式攻擊，因此分析、響應(yīng)和處理的成本會大大增加。

7.NTP Flood：NTP是基于UDP協(xié)議傳輸?shù)臉?biāo)準(zhǔn)網(wǎng)絡(luò)時(shí)間同步協(xié)議。由于UDP協(xié)議的無連接特性，偽造源地址非常方便。攻擊者使用特殊數(shù)據(jù)包，即IP地址指向服務(wù)器作為反射器，源IP地址偽造為攻擊目標(biāo)的IP。反射器收到數(shù)據(jù)包時(shí)被騙，響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，耗盡了目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般NTP服務(wù)器帶寬較大，攻擊者可能僅用1Mbps的上傳帶寬欺騙NTP服務(wù)器，可給目標(biāo)服務(wù)器帶來數(shù)十萬Mbps的攻擊流量。因此，反射攻擊可以使用“問答”協(xié)議。通過將質(zhì)詢數(shù)據(jù)包的地址偽造為目標(biāo)的地址，所有回復(fù)數(shù)據(jù)包都將被發(fā)送到目標(biāo)。一旦協(xié)議具有遞歸效應(yīng)，流量就會顯著放大，這可以稱之為“不暢”流量攻擊。有不懂的請咨詢夢飛云idc了解。