分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊中常見(jiàn)的攻擊方式。分布式拒絕服務(wù)攻擊(DDoS)是指不同位置的多個(gè)攻擊者同時(shí)攻擊一個(gè)或多個(gè)目標(biāo)，或者一個(gè)攻擊者控制不同位置的多臺(tái)機(jī)器，并使用這些機(jī)器同時(shí)攻擊受害者。由于攻擊點(diǎn)分布在不同的地方，這種攻擊稱(chēng)為分布式拒絕服務(wù)攻擊，其中可以有多個(gè)攻擊者。

1.UDP Flood：UDP協(xié)議是一種無(wú)連接服務(wù)。在UDP Flood中，攻擊者通常會(huì)發(fā)送大量偽造源IP地址的小UDP數(shù)據(jù)包來(lái)攻擊DNS服務(wù)器、Radius認(rèn)證服務(wù)器和流媒體視頻服務(wù)器。10萬(wàn)bps的UDP Flood經(jīng)常會(huì)癱瘓線路上的骨干設(shè)備，比如防火墻，造成整個(gè)網(wǎng)段癱瘓。上述傳統(tǒng)流量攻擊方式技術(shù)含量低，造成1000人受傷，800人自損。攻擊效果通常取決于被控主機(jī)本身的網(wǎng)絡(luò)性能，很容易找到攻擊源，因此單獨(dú)使用并不常見(jiàn)。于是出現(xiàn)了四兩千磅效果的反射式放大攻擊。

2.CC攻擊：CC攻擊是目前應(yīng)用層的主要攻擊手段之一，利用代理服務(wù)器產(chǎn)生指向目標(biāo)系統(tǒng)的合法請(qǐng)求，實(shí)現(xiàn)偽裝和DDOS。我們都有這樣的經(jīng)歷。訪問(wèn)一個(gè)靜態(tài)頁(yè)面不需要太長(zhǎng)時(shí)間，即使人很多。但是，如果你訪問(wèn)論壇、貼吧等。高峰時(shí)期會(huì)非常慢，因?yàn)榉?wù)器系統(tǒng)需要去數(shù)據(jù)庫(kù)判斷訪客是否有權(quán)限看帖子、說(shuō)話等。訪問(wèn)量越大，論壇的頁(yè)面越多，對(duì)數(shù)據(jù)庫(kù)的壓力越大，被訪問(wèn)的頻率越高，占用的系統(tǒng)資源也相當(dāng)可觀。CC攻擊充分利用了這一特性，模擬很多正常用戶不斷訪問(wèn)論壇等需要大量數(shù)據(jù)操作的頁(yè)面，造成服務(wù)器資源的浪費(fèi)。CPU長(zhǎng)時(shí)間處于100%，總是有無(wú)窮無(wú)盡的請(qǐng)求需要處理。網(wǎng)絡(luò)擁塞，正常訪問(wèn)被暫停。這種攻擊技術(shù)含量高，看不到真實(shí)的源IP和異常流量，而服務(wù)器就是無(wú)法正常連接。

3.SYN Flood：這是一種利用TCP協(xié)議的缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使被攻擊方資源耗盡(CPU已滿或內(nèi)存不足)的攻擊方法。建立TCP連接需要三次握手——客戶端發(fā)送SYN消息，服務(wù)器接收請(qǐng)求并返回消息表示接受，客戶端也返回確認(rèn)完成連接。SYN Flood是指用戶在向服務(wù)器發(fā)送消息后突然崩潰或掉線，因此服務(wù)器在發(fā)送回復(fù)消息后無(wú)法收到客戶端的確認(rèn)消息(第一次三次握手無(wú)法完成)。此時(shí)，服務(wù)器通常會(huì)重試并等待一段時(shí)間，然后丟棄未完成的連接。服務(wù)器的一個(gè)線程因?yàn)橛脩舻漠惓６却欢螘r(shí)間并不是什么大問(wèn)題，但是惡意攻擊者大量模擬這種情況，服務(wù)器為了維持幾萬(wàn)個(gè)半連接，消耗了大量資源，結(jié)果往往忙得顧不上客戶的正常請(qǐng)求，甚至崩潰。從正?？蛻舻慕嵌葋?lái)看，網(wǎng)站反應(yīng)遲鈍，無(wú)法訪問(wèn)。

4.DNS Query Flood：作為互聯(lián)網(wǎng)的核心服務(wù)之一，DNS也是DDOS攻擊的主要目標(biāo)。DNS Query Flood使用的方法是操縱大量傀儡機(jī)，向目標(biāo)服務(wù)器發(fā)送大量域名解析請(qǐng)求。當(dāng)服務(wù)器收到域名解析請(qǐng)求時(shí)，會(huì)先查找服務(wù)器上是否有對(duì)應(yīng)的緩存，如果找不到且無(wú)法直接解析域名，會(huì)遞歸向其上層DNS服務(wù)器查詢域名信息。通常，攻擊者請(qǐng)求的域名是隨機(jī)生成的，或者根本不存在于網(wǎng)絡(luò)中。由于在本地找不到相應(yīng)的結(jié)果，服務(wù)器必須使用遞歸查詢將解析請(qǐng)求提交給上層域名服務(wù)器，造成連鎖反應(yīng)。解析過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載，當(dāng)域名解析請(qǐng)求數(shù)超過(guò)每秒一定數(shù)量時(shí)，DNS服務(wù)器就會(huì)超時(shí)。根據(jù)微軟的統(tǒng)計(jì)，一臺(tái)DNS服務(wù)器可以承受的動(dòng)態(tài)域名查詢上限是每秒9000個(gè)請(qǐng)求。然而，一臺(tái)P3 PC每秒可以輕松構(gòu)造上萬(wàn)個(gè)域名解析請(qǐng)求，足以癱瘓一臺(tái)硬件配置極高的DNS服務(wù)器，由此可見(jiàn)DNS服務(wù)器的脆弱性。

5.ICMP Flood：ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)用于在IP主機(jī)和路由器之間傳輸控制消息?？刂葡⒅傅氖蔷W(wǎng)絡(luò)本身的消息，比如網(wǎng)絡(luò)是否無(wú)法通行，主機(jī)是否可達(dá)，路由是否可用等。雖然它不傳輸用戶數(shù)據(jù)，但它在用戶數(shù)據(jù)傳輸中起著重要的作用。通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量數(shù)據(jù)包，目標(biāo)主機(jī)可能會(huì)癱瘓。如果發(fā)送大量數(shù)據(jù)包，將成為洪水攻擊。

6.混合攻擊：實(shí)際情況中，攻擊者只想打敗對(duì)方。到目前為止，高級(jí)攻擊者不再傾向于使用單一的攻擊手段進(jìn)行戰(zhàn)斗，而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境發(fā)動(dòng)多種攻擊手段，不僅流量大，而且利用協(xié)議和系統(tǒng)的缺陷盡可能多地發(fā)動(dòng)攻勢(shì)。對(duì)于被攻擊的目標(biāo)，需要面對(duì)不同協(xié)議和資源的分布式攻擊，因此分析、響應(yīng)和處理的成本會(huì)大大增加。

7.NTP Flood：NTP是基于UDP協(xié)議傳輸?shù)臉?biāo)準(zhǔn)網(wǎng)絡(luò)時(shí)間同步協(xié)議。由于UDP協(xié)議的無(wú)連接特性，偽造源地址非常方便。攻擊者使用特殊數(shù)據(jù)包，即IP地址指向服務(wù)器作為反射器，源IP地址偽造為攻擊目標(biāo)的IP。反射器收到數(shù)據(jù)包時(shí)被騙，響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，耗盡了目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般NTP服務(wù)器帶寬較大，攻擊者可能僅用1Mbps的上傳帶寬欺騙NTP服務(wù)器，可給目標(biāo)服務(wù)器帶來(lái)數(shù)十萬(wàn)Mbps的攻擊流量。因此，反射攻擊可以使用“問(wèn)答”協(xié)議。通過(guò)將質(zhì)詢數(shù)據(jù)包的地址偽造為目標(biāo)的地址，所有回復(fù)數(shù)據(jù)包都將被發(fā)送到目標(biāo)。一旦協(xié)議具有遞歸效應(yīng)，流量就會(huì)顯著放大，這可以稱(chēng)之為“不暢”流量攻擊。有不懂的請(qǐng)咨詢夢(mèng)飛云idc了解。