• HOME
  • DDOS攻擊說明
拓雲國際網路有限公司服務項目-DDOS攻擊說明:

  • DDOS攻擊可以具體分成兩種形式 - 頻寬消耗型以及資源消耗型,
    都是透過大量合法或偽造的請求佔用大量網路以及器材資源,以達到癱瘓網路以及系統的目的。

  • DDoS 頻寬消耗攻擊可以分為兩個不同的層次;洪泛攻擊或放大攻擊。 洪泛攻擊的特點是利用殭屍程序發送大量流量至受損的受害者系統,目的在於堵塞其頻寬。
    放大攻擊也與之類似,通過惡意放大流量限制受害者系統的頻寬;其特點是利用殭屍程序發送信息,但是信息卻是發送至廣播 IP 位址,導致系統子網被廣播 IP 位址連接上之後再發送信息至受害系統。
    User Datagram Protocol (UDP) floods UDP是一種無連接協議,當數據包通過 UDP 發送時,所有的數據包在發送和接收時不需要進行握手驗證。當大量 UDP 數據包發送給受害系統時,可能會導致頻寬飽和從而使得合法服務無法請求訪問受害系統。遭受 DDoS UDP 洪泛攻擊時,UDP 數據包的目的埠可能是隨機或指定的埠,受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程序在目標埠運行,受害系統將對源IP發出 ICMP 數據包,表明「目標埠不可達」。 某些情況下,攻擊者會偽造源IP位址以隱藏自己,這樣從受害系統返回的數據包不會直接回到殭屍主機,而是被發送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網路連接,這可能導致受害系統附近的正常系統遇到問題。然而,這取決於網路體系結構和線速。
    ICMP floods ICMP floods是通過向未良好設置的路由器發送廣播信息佔用系統資源的做法。 ping of death ping of death是產生超過IP協定能容忍的封包數,若系統沒有檢查機制,就會當機。 TearDrop 每個資料要傳送前,該封包都會經過切割,每個小切割都會記錄位移的資訊,以便重組,但此攻擊模式就是捏造位移資訊,造成重組時發生問題,造成錯誤。


    協議分析攻擊 (SYN flood) 傳送控制協議 (TCP) 同步 (SYN) 攻擊。TCP 進程通常包括發送者和接受者之間在數據包發送之前建立的完全信號交換。啟動系統發送一個 SYN 請求,接收系統返回一個帶有自己 SYN 請求的 ACK ( 確認 )作為交換。發送系統接著傳回自己的 ACK 來授權兩個系統間的通訊。若接收系統發送了 SYN 數據包,但沒接收到 ACK,接受者經過一段時間後會再次發送新的 SYN 數據包。接受系統中的處理器和內存資源將存儲該 TCP SYN 的請求直至超時。
    DDoS TCP SYN 攻擊也被稱為「資源耗盡攻擊」 ,它利用 TCP 功能將殭屍程序偽裝的 TCP SYN 請求發送給受害伺服器,從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用發送系統和接收系統間的三向信號交換來發送大量欺騙性的原 IP 位址 TCP SYN 數據包給受害系統。最終,大量 TCP SYN 攻擊請求反覆發送,導致受害系統內存和處理器資源耗盡,致使其無法處理任何合法用戶的請求。
    LAND attack 這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器無窮迴圈,最終耗盡資源而死機。 CC 攻擊 CC 攻擊是 DDoS 攻擊的一種類型,使用代理伺服器向受害伺服器發送大量貌似合法的請求 ( 通常使用 HTTP GET )。CC (攻擊黑洞)根據其工具命名,攻擊者創造性地使用代理機制,利用眾多廣泛可用的免費代理伺服器發動 DDoS 攻擊。
    許多免費代理伺服器支持匿名模式,這使追蹤變得非常困難。 殭屍網路攻擊 殭屍網路是指大量被命令控制型 (C&C) 伺服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成自己的殭屍網路。殭屍網路難於檢測的原因是,殭屍主機只有在執行特定指令時才會與伺服器進行通訊,使得它們隱蔽且不易察覺。
    殭屍網路根據網路通訊協議的不同分為 IRC、HTTP 或 P2P類等。 Application level floods 與前面敘說的攻擊方式不同,Application level floods主要是針對應用軟體層的,也就是高於OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網路服務程序提出無節制的資源申請來迫害正常的網路服務。