Denial of Service (DoS)

分散式拒絕服務攻擊

攻擊方式

頻寬消耗型攻擊

• User Datagram Protocol (UDP) floods
• UDP是一種無連線協定，當數據包通過 UDP 傳送時，所有的數據包在傳送和接收時不需要進行握手驗證。當大量 UDP 數據包傳送給受害系統時，可能會導致頻寬飽和從而使得合法服務無法請求訪問受害系統。遭受 DDoS UDP 洪泛攻擊時，UDP 數據包的目的連線埠可能是隨機或指定的連線埠，受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程式在目標連線埠運行，受害系統將對源IP發出 ICMP 數據包，表明“目標連線埠不可達”。某些情況下，攻擊者會偽造源IP位址以隱藏自己，這樣從受害系統返回的數據包不會直接回到殭屍主機，而是被傳送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網路連線，這可能導致受害系統附近的正常系統遇到問題。然而，這取決於網路體系結構和線速。

• ICMP floods
• ICMP floods是通過向未良好設定的路由器傳送廣播信息占用系統資源的做法。

• ping of death（死亡之Ping）
• ping of death是產生超過IP協定能容忍的數據包數，若系統沒有檢查機制，就會當機。

• 淚滴攻擊
• 每個數據要傳送前，該數據包都會經過切割，每個小切割都會記錄位移的信息，以便重組，但此攻擊模式就是捏造位移信息，造成重組時發生問題，造成錯誤。

資源消耗型攻擊

• 協定分析攻擊（SYN flood，SYN洪水）
• 傳送控制協定 (TCP) 同步 (SYN) 攻擊。TCP 進程通常包括傳送者和接受者之間在數據包傳送之前創建的完全信號交換。啟動系統傳送一個 SYN 請求，接收系統返回一個帶有自己 SYN 請求的 ACK （ 確認 ）作為交換。傳送系統接著傳回自己的 ACK 來授權兩個系統間的通訊。若接收系統傳送了 SYN 數據包，但沒接收到 ACK，接受者經過一段時間後會再次傳送新的 SYN 數據包。接受系統中的處理器和記憶體資源將存儲該 TCP SYN 的請求直至逾時。DDoS TCP SYN 攻擊也被稱為“資源耗盡攻擊” ,它利用 TCP 功能將殭屍程式偽裝的 TCP SYN 請求傳送給受害伺服器，從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用傳送系統和接收系統間的三向信號交換來傳送大量欺騙性的原 IP 地址 TCP SYN 數據包給受害系統。最終，大量 TCP SYN 攻擊請求反覆傳送，導致受害系統記憶體和處理器資源耗盡，致使其無法處理任何合法用戶的請求。

• LAND attack
• 這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而當機。

• CC 攻擊
• CC 攻擊是 DDoS 攻擊的一種類型，使用代理伺服器向受害伺服器傳送大量貌似合法的請求 （通常使用 HTTP GET)。CC (攻擊黑洞)根據其工具命名，攻擊者創造性地使用代理機制，利用眾多廣泛可用的免費代理伺服器發動 DDoS 攻擊。許多免費代理伺服器支持匿名模式，這使追蹤變得非常困難。

• 殭屍網路攻擊
• 殭屍網路是指大量被命令控制型 (C&C) 伺服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成自己的殭屍網路。殭屍網路難於檢測的原因是，殭屍主機只有在執行特定指令時才會與伺服器進行通訊，使得它們隱蔽且不易察覺。殭屍網路根據網路通訊協定的不同分為IRC、HTTP或P2P類等。

• Application level floods（應用程式級洪水攻擊）
• 與前面敘說的攻擊方式不同，Application level floods主要是針對套用軟體層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網路服務程式提出無節制的資源申請來迫害正常的網路服務。