DDoS攻擊分類

攻擊子類

描述

畸形報文

畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。

畸形報文攻擊指通過向目標系統發送有缺陷的IP報文，使得目標系統在處理這樣的報文時出現崩潰，從而達到拒絕服務的攻擊目的。

傳輸層DDoS攻擊

傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。

以Syn Flood攻擊為例，它利用了TCP協議的三次握手機制，當服務端接收到一個Syn請求時，服務端必須使用一個監聽隊列將該連接保存一定時間。因此，通過向服務端不停發送Syn請求，但不響應Syn+Ack報文，從而消耗服務端的資源。當監聽隊列被占滿時，服務端將無法響應正常用戶的請求，達到拒絕服務攻擊的目的。

DNS DDoS攻擊

DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威服務器攻擊和Local服務器攻擊等。

以DNS Query Flood攻擊為例，其本質上執行的是真實的Query請求，屬于正常業務行為。但如果多臺傀儡機同時發起海量的域名查詢請求，服務端無法響應正常的Query請求，從而導致拒絕服務。

連接型DDoS攻擊

連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。

以Slowloris攻擊為例，其攻擊目標是Web服務器的并發上限。當Web服務器的連接并發數達到上限后，Web服務即無法接收新的請求。Web服務接收到新的HTTP請求時，建立新的連接來處理請求，并在處理完成后關閉這個連接。如果該連接一直處于連接狀態，收到新的HTTP請求時則需要建立新的連接進行處理。而當所有連接都處于連接狀態時，Web將無法處理任何新的請求。

Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。HTTP請求以\r\n\r\n標識Headers的結束，如果Web服務端只收到\r\n，則認為HTTP Headers部分沒有結束，將保留該連接并等待后續的請求內容。

Web應用層DDoS攻擊

Web應用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。

通常應用層攻擊完全模擬用戶請求，類似于各種搜索引擎和爬蟲一樣，這些攻擊行為和正常的業務并沒有嚴格的邊界，難以辨別。

Web服務中一些資源消耗較大的事務和頁面。例如，Web應用中的分頁和分表，如果控制頁面的參數過大，頻繁的翻頁將會占用較多的Web服務資源。尤其在高并發頻繁調用的情況下，類似這樣的事務就成了早期CC攻擊的目標。

由于現在的攻擊大都是混合型的，因此模擬用戶行為的頻繁操作都可以被認為是CC攻擊。例如，各種刷票軟件對網站的訪問，從某種程度上來說就是CC攻擊。

CC攻擊瞄準的是Web應用的后端業務，除了導致拒絕服務外，還會直接影響Web應用的功能和性能，包括Web響應時間、數據庫服務、磁盤讀寫等。