SYN/ACK Flood 攻击:
这种攻击方法是经典最有效的 DDOS 攻击方法,可通杀各种系统的网络服务,主
要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包,导致主机的
缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起
来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的
这种攻击会导致主机服务器无法访问,但却可以 Ping 的通,在服务器上用
Netstat -na 命令会观察到存在大量的 SYN_RECEIVED 状态,大量的这种攻击会
导致 Ping 失败、TCP/IP 栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。
普通防火墙大多无法抵御此种攻击。
TCP 全连接攻击:
这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多
具备过滤 TearDrop、Land 等 DOS 攻击的能力,但对于正常的 TCP 连接是放过的,
殊不知很多网络服务程序(如:IIS、Apache 等 Web 服务器)能接受的 TCP 连接
数是有限的,一旦有大量的 TCP 连接,即便是正常的,也会导致网站访问非常缓
慢甚至无法访问,TCP 全连接攻击就是通过许多僵尸主机不断地与受害服务器建
立大量的 TCP 连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服
务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找
很多僵尸主机,并且由于僵尸主机的 IP 是暴露的,因此此种 DDOS 攻击方式容易
被追踪。
刷 Script 脚本攻击:
这种攻击主要是针对存在 ASP、JSP、PHP、CGI 等脚本程序,并调用 MSSQLServer、
MySQLServer、Oracle 等数据库的网站系统而设计的,特征是和服务器建立正常
的 TCP 连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,
典型的以小博大的攻击方法。一般来说,提交一个 GET 或 POST 指令对客户端的
耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条
记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服
务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举
的,因此攻击者只需通过 Proxy 代理向主机服务器大量递交查询指令,只需数分
钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP
程序失效、PHP 连接数据库失败、数据库主程序占用 CPU 偏高。这种攻击的特点
是可以完全绕过普通的防火墙防护,轻松找一些 Proxy 代理就可实施攻击,缺点
是对付只有静态页面的网站效果会大打折扣,并且有些 Proxy 会暴露 DDOS 攻击
者的 IP 地址。
攻击原理
目前 DDoS 攻击主要分为两类:带宽耗尽型和资源耗尽型。
带宽耗尽型主要是堵塞目标网络的出口,导致带宽消耗不能提供正常的上网服
务。例如常见的 Smurf 攻击、UDP Flood 攻击、MStream Flood 攻击等。针对此
类攻击一般采取的措施就是 QoS,在路由器或防火墙上针对此类数据流限制流
量,从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别,并被丢弃