DDoS 攻擊是在線業(yè)務的主要關注點。 根據(jù) Akamai 的 2021年年度安全報告 ，DDoS 攻擊總數(shù)增加了 179.66%！

這個數(shù)字表明，在過去兩年中，數(shù)量驚人的企業(yè)已成為犯罪分子、活動家和黑客出于邪惡原因的目標。 它不僅會拒絕為企業(yè)用戶提供服務，還會導致昂貴的賬單。 一些 DDoS 攻擊甚至可能對企業(yè)造成經濟損失！

從嘗試使用基于 ping 命令的 ICMP 回顯請求泛洪目標到多向量攻擊，DDoS 攻擊多年來變得越來越龐大和復雜。 在這篇文章中，我們將了解不同類型的 DDoS 攻擊。 以下是不同 DDoS 攻擊類型的列表。

應用程序級攻擊

DDoS 攻擊可以針對特定應用程序或編碼錯誤的網(wǎng)站，以利用其弱點并因此導致整個服務器癱瘓。 WordPress和 Joomla 是可以針對耗盡服務器資源的兩個應用程序示例 – RAM、CPU 等。數(shù)據(jù)庫也可以針對旨在利用這些漏洞的 SQL 注入。

然后，由于資源耗盡，耗盡的服務器無法處理合法請求。 存在安全漏洞的網(wǎng)站和應用程序也容易受到想要竊取信息的黑客的攻擊。

零日 (0day) DDoS

這是一個標準術語（如 John Doe），用于描述利用新漏洞的攻擊。 這些零日 DDoS 漏洞沒有補丁或有效的防御機制。

平洪水

作為 ICMP 洪水的演進版本，這種 DDoS 攻擊也是特定于應用程序的。 當服務器從一個非常大的源 IP 集合中接收到大量欺騙性的 Ping 數(shù)據(jù)包時，它就會成為 Ping Flood 攻擊的目標。 這種攻擊的目標是用 ping 數(shù)據(jù)包淹沒目標，直到它下線。

它旨在消耗網(wǎng)絡中的所有可用帶寬和資源，直到它完全耗盡并關閉。 這種類型的 DDoS 攻擊也不容易檢測，因為它很容易類似于合法流量。

IP空攻擊

數(shù)據(jù)包包含 IPv4 標頭，其中包含有關正在使用的傳輸協(xié)議的信息。 當攻擊者將此字段的值設置為零時，這些數(shù)據(jù)包可以繞過旨在掃描 TCP、IP 和 ICMP 的安全措施。 當目標服務器嘗試處理這些數(shù)據(jù)包時，它最終會耗盡其資源并重新啟動。

CharGEN 洪水

這是一個非常古老的協(xié)議，可以用來執(zhí)行放大的攻擊。 CharGEN 放大攻擊是通過向運行 CharGEN 的啟用互聯(lián)網(wǎng)的設備發(fā)送攜帶目標欺騙 IP 的小數(shù)據(jù)包來執(zhí)行的。 這些對此類設備的欺騙性請求隨后用于將 UDP 泛洪作為這些設備的響應發(fā)送到目標。

大多數(shù)支持 Internet 的打印機、復印機等都默認啟用此協(xié)議，并可用于執(zhí)行 CharGEN 攻擊。 這可用于在端口 19 上使用 UDP 數(shù)據(jù)包泛濫目標。當目標嘗試理解這些請求時，它將失敗。 服務器最終將耗盡其資源并脫機或重新啟動。

SNMP 洪水

與 CharGEN 攻擊一樣，SNMP 也可用于放大攻擊。 SNMP 主要用于網(wǎng)絡設備。 SNMP 放大攻擊是通過向運行 SNMP 的啟用 Internet 的設備發(fā)送攜帶目標欺騙 IP 的小數(shù)據(jù)包來執(zhí)行的。

這些對此類設備的欺騙性請求隨后用于將 UDP 泛洪作為這些設備的響應發(fā)送到目標。 但是，與 CHARGEN 和 DNS 攻擊相比，SNMP 的放大效應可能更大。 當目標試圖理解大量請求時，它最終會耗盡其資源并離線或重新啟動。

NTP 洪水

NTP 協(xié)議是另一種可公開訪問的網(wǎng)絡協(xié)議。 NTP 放大攻擊也可以通過向運行 NTP 的啟用互聯(lián)網(wǎng)的設備發(fā)送攜帶目標欺騙 IP 的小數(shù)據(jù)包來執(zhí)行。

這些對此類設備的欺騙性請求隨后用于將 UDP 泛洪作為這些設備的響應發(fā)送到目標。 當目標試圖理解大量請求時，它最終會耗盡其資源并離線或重新啟動。

SSDP 洪水

支持 SSDP 的網(wǎng)絡設備也可以從 Internet 訪問 UPnP，這是生成 SSDP 放大洪水的簡單來源。 SSDP放大攻擊也是通過向設備發(fā)送攜帶目標欺騙IP的小數(shù)據(jù)包來進行的。

這些對此類設備的欺騙性請求用于將 UDP 泛洪作為這些設備的響應發(fā)送到目標。 當目標試圖理解大量請求時，它最終會耗盡其資源并離線或重新啟動。

其他放大的 DDoS 攻擊

所有放大攻擊都使用上述針對 CHARGEN、NTP 等的相同策略。其他 UDP 協(xié)議已被確定為執(zhí)行放大洪水攻擊 US CERT 的可能工具有：

• SNMPv2
• 網(wǎng)絡BIOS
• QOTD
• BitTorrent
• 什么時候
• 地震網(wǎng)絡協(xié)議
• Steam 協(xié)議

分段 HTTP 泛濫

在這個針對已知漏洞的復雜攻擊示例中，具有有效 IP 的 BOT 用于與 Web 服務器建立有效的 HTTP 連接。 然后，機器人將 HTTP 數(shù)據(jù)包拆分成微小的片段，并在超時之前盡可能慢地發(fā)送到目標。 這種方法允許攻擊者長時間保持連接活動，而不會警告任何防御機制。

攻擊者可以使用一個 BOT 啟動多個未檢測到的、擴展的和消耗資源的會話。 像 Apache 這樣的流行 Web 服務器沒有有效的超時機制。 這是一個 DDoS 安全漏洞，一些 BOT 可以利用它來停止 Web 服務。

HTTP 洪水

BOT 的真實 IP 用于避免懷疑。 用于執(zhí)行攻擊的 BOT 數(shù)量與此攻擊的源 IP 范圍相同。 由于 BOT 的 IP 地址沒有被欺騙，因此防御機制沒有理由標記這些有效的 HTTP 請求。

一個 BOT 可用于發(fā)送大量 GET、POST 或其他 HTTP 請求來執(zhí)行攻擊。 可以在 HTTP DDoS 攻擊中組合多個機器人，以完全削弱目標服務器。

單會話 HTTP 洪水

攻擊者可以利用 HTTP 1.1 中的漏洞從單個 HTTP 會話發(fā)送多個請求。 這允許攻擊者從少數(shù)會話中發(fā)送大量請求。 換句話說，攻擊者可以繞過 DDoS 防御機制對允許的會話數(shù)量的限制。

Single Session HTTP Flood 還針對服務器的資源來觸發(fā)系統(tǒng)完全關閉或性能不佳。

單一請求 HTTP 泛洪

當防御機制演變?yōu)樽柚乖S多傳入的數(shù)據(jù)包時，像 Single Packet HTTP Flood 這樣的攻擊被設計為避開這些防御的變通方法。 HTTP 洪水的這種演變利用了 HTTP 技術中的另一個漏洞。 通過在一個 HTTP 數(shù)據(jù)包中屏蔽這些請求，單個 HTTP 會話可以發(fā)出多個 HTTP 請求。

該技術通過將數(shù)據(jù)包速率保持在允許的范圍內，允許攻擊在耗盡服務器資源的同時保持隱形。

遞歸 HTTP GET 泛濫

為了使攻擊高度成功，它必須盡可能長時間地保持未被發(fā)現(xiàn)。 不被發(fā)現(xiàn)的最佳方法是在執(zhí)行另一次攻擊時保持在所有限制范圍內，從而顯示為合法請求。 遞歸 GET 通過收集頁面或圖像列表并似乎正在瀏覽這些頁面或圖像來自行實現(xiàn)這一點。

這種攻擊可以與 HTTP 洪水攻擊結合使用，以獲得最大的影響。

隨機遞歸 GET 洪水

此攻擊是遞歸 GET 攻擊的一種專門構建的變體。 它專為按順序排列頁面的論壇、博客和其他網(wǎng)站而設計。 與遞歸 GET 一樣，它似乎也在瀏覽頁面。 由于頁面名稱是按順序排列的，為了保持作為合法用戶的外觀，它每次使用來自有效頁面范圍的隨機數(shù)來發(fā)送新的 GET 請求。

隨機遞歸 GET 還旨在通過大量 GET 請求降低其目標的性能，并拒絕對真實用戶的訪問。

多向量攻擊

我們討論了攻擊者將遞歸 GET 攻擊與 HTTP 洪水攻擊相結合以放大攻擊的影響。 這只是攻擊者同時使用兩種類型的 DDoS 攻擊來針對服務器的一個示例。 攻擊還可以結合多種方法，讓處理 DDoS 攻擊的工程師感到困惑。

這些攻擊是最難處理的，并且能夠摧毀一些受到最佳保護的服務器和網(wǎng)絡。

SYN 洪水

這種攻擊利用了客戶端、主機和服務器之間的三向 TCP 通信過程的設計。 在這個過程中，客戶端通過生成一個 SYN 包來發(fā)起一個新的會話。 主機分配并檢查這些會話，直到它們被客戶端關閉。 為了進行 SYN Flood 攻擊，攻擊者從欺騙的 IP 地址向目標服務器發(fā)送大量 SYN 數(shù)據(jù)包。

這種攻擊一直持續(xù)到耗盡服務器的連接表內存——存儲和處理這些傳入的 SYN 數(shù)據(jù)包。 結果是服務器由于資源耗盡而無法處理合法請求，直到攻擊持續(xù)。

SYN-ACK 泛洪

這種 DDoS 攻擊利用了三向 TCP 通信過程的第二步。 在此步驟中，偵聽主機生成一個 SYN-ACK 數(shù)據(jù)包以確認傳入的 SYN 數(shù)據(jù)包。 在 SYN-ACK Flood 攻擊中，大量偽造的 SYN-ACK 數(shù)據(jù)包被發(fā)送到目標服務器。 當服務器試圖處理大量請求時，攻擊試圖耗盡服務器的資源——它的 RAM、CPU 等。

結果是服務器由于資源耗盡而無法處理合法請求，直到攻擊持續(xù)。

ACK 和 PUSH ACK 泛洪

在活動的 TCP-SYN 會話期間，ACK 或 PUSH ACK 數(shù)據(jù)包將信息傳送到主機和客戶端機器，直到會話結束。 在 ACK & PUSH ACK 洪水攻擊期間，大量的欺騙性 ACK 數(shù)據(jù)包被發(fā)送到目標服務器以使其泄氣。

由于這些數(shù)據(jù)包沒有與服務器連接列表上的任何會話鏈接，因此服務器會花費更多資源來處理這些請求。 結果是服務器由于資源耗盡而無法處理合法請求，直到攻擊持續(xù)。

ACK 分片泛濫

在 ACK & PUSH ACK Flood 攻擊的這種帶寬消耗版本中使用了分段的 ACK 數(shù)據(jù)包。 為了執(zhí)行這種攻擊，1500 字節(jié)的分段數(shù)據(jù)包被發(fā)送到目標服務器。 這些數(shù)據(jù)包更容易在未被檢測到的情況下到達其目標，因為它們通常不會被路由器在 IP 級別重新組合。

這使得攻擊者可以通過路由設備發(fā)送少量包含不相關數(shù)據(jù)的數(shù)據(jù)包，從而消耗大量帶寬。 此攻擊通過嘗試消耗網(wǎng)絡中的所有可用帶寬來影響目標網(wǎng)絡中的所有服務器。

RST/FIN 洪水

在成功的三向或四向 TCP-SYN 會話后，服務器會交換 RST 或 FIN 數(shù)據(jù)包以關閉主機和客戶端計算機之間的 TCP-SYN 會話。 在 RST 或 FIN Flood 攻擊中，目標服務器會收到大量不屬于目標服務器上任何會話的欺騙性 RST 或 FIN 數(shù)據(jù)包。

當服務器試圖處理這些無效請求時，攻擊試圖耗盡服務器的資源——它的 RAM、CPU 等。 結果是服務器由于資源耗盡而無法處理合法請求。

同義IP攻擊

為了使服務器宕機，大量攜帶目標服務器的源 IP 和目標 IP 的 TCP-SYN 數(shù)據(jù)包被發(fā)送到目標服務器。 即使數(shù)據(jù)包攜帶目標服務器的源和目標 IP 信息，這些數(shù)據(jù)也不重要。

Synonymous IP 攻擊的目標是耗盡服務器的資源——RAM、CPU 等，因為它試圖計算這種異常。 然后，由于資源耗盡，耗盡的服務器無法處理合法請求。

欺騙性會話泛濫

上述一些 DDoS 攻擊無法欺騙大多數(shù)現(xiàn)代防御機制，但 DDoS 攻擊也在不斷發(fā)展以繞過這些防御。 Fake Session 攻擊試圖通過攜帶一個 SYN、多個 ACK?? 和一個或多個 RST 或 FIN 數(shù)據(jù)包來偽裝有效的 TCP 會話來繞過安全性。

這種攻擊可以繞過僅監(jiān)視網(wǎng)絡上傳入流量的防御機制。 這些 DDoS 攻擊還可能耗盡目標的資源并導致系統(tǒng)完全關閉或系統(tǒng)性能不可接受。

多個 SYN-ACK 欺騙性會話泛濫

此版本的虛假會話攻擊包含多個 SYN 和多個 ACK?? 數(shù)據(jù)包以及一個或多個 RST 或 FIN 數(shù)據(jù)包。 多 SYN-ACK 假會話是演進 DDoS 攻擊的另一個例子。 它們被更改為繞過依賴非常具體的規(guī)則來防止此類攻擊的防御機制。

與 Fake Session 攻擊一樣，這種攻擊也可以耗盡目標的資源并導致系統(tǒng)完全關閉或系統(tǒng)性能不可接受。

多個 ACK?? 欺騙會話泛濫

在這個版本的 Fake Session 中完全跳過了 SYN。 多個 ACK?? 數(shù)據(jù)包用于開始和攜帶攻擊。 這些 ACK 包后面跟著一個或多個 RST 或 FIN 包，以完成 TCP 會話的偽裝。

與最初的 SYN-Flood 攻擊相比，這些攻擊往往更成功地保持在雷達之下，因為它們產生的 TCP-SYN 流量較低。 與其來源一樣，Multiple ACK Fake Session 攻擊也可以耗盡目標的資源并導致系統(tǒng)完全關閉或系統(tǒng)性能不可接受。

會話攻擊

為了繞過防御，這種攻擊不使用欺騙性 IP，而是使用用于執(zhí)行攻擊的 BOT 的真實 IP 地址。 用于執(zhí)行攻擊的 BOT 數(shù)量與此攻擊的源 IP 范圍相同。 這種攻擊是通過在 BOT 和目標服務器之間創(chuàng)建 TCP-SYN 會話來執(zhí)行的。

然后通過延遲 ACK 數(shù)據(jù)包延長該會話直到超時。 會話攻擊試圖通過這些空會話耗盡服務器的資源。 這反過來又會導致系統(tǒng)完全關閉或系統(tǒng)性能無法接受。

濫用應用程序攻擊

攻擊者首先入侵托管 P2P 服務等高流量應用程序的客戶端計算機。 來自這些客戶端機器的流量然后被重定向到目標服務器。 目標服務器在嘗試接受和協(xié)商過多的流量時會耗盡其資源。 在這種情況下，防御機制不會被觸發(fā)，因為被黑客入侵的客戶端機器實際上是在嘗試與目標服務器建立有效連接。

在成功將流量重定向到目標后，隨著攻擊的進行，攻擊者會斷開網(wǎng)絡并變得無法追蹤。 濫用應用程序攻擊以服務器的資源為目標，并試圖將其關閉或破壞其性能。

UDP洪水

顧名思義，在這種類型的 DDoS 攻擊中，服務器被 UDP 數(shù)據(jù)包淹沒。 與 TCP 不同，客戶端和主機之間沒有端到端的通信過程。 這使得防御機制更難識別 UDP Flood 攻擊。 大量偽造的 UDP 數(shù)據(jù)包從大量源 IP 發(fā)送到目標服務器以將其關閉。

UDP洪水攻擊可以通過在攻擊數(shù)據(jù)包中包含目標服務器的端口和IP地址來針對隨機服務器或網(wǎng)絡中的特定服務器。 這種攻擊的目標是消耗網(wǎng)絡中的帶寬，直到所有可用帶寬都用完為止。

UDP 分片泛濫

這是另一種不易檢測到的巧妙掩蓋的 DDoS 攻擊。 此攻擊產生的活動類似于有效流量，并且所有流量都保持在限制范圍內。 此版本的 UDP Flood 攻擊發(fā)送更大但碎片化的數(shù)據(jù)包，通過發(fā)送更少的碎片化 UDP 數(shù)據(jù)包來耗盡更多帶寬。

當目標服務器試圖將這些不相關的、偽造的分段 UDP 數(shù)據(jù)包放在一起時，它會失敗。 最終，所有可用資源都用盡，服務器可能會重新啟動。

DNS 泛濫

最著名的 DDoS 攻擊之一，此版本的 UDP 洪水攻擊是特定于應用程序的——在這種情況下是 DNS 服務器。 它也是最難檢測和預防的 DDoS 攻擊之一。 為了執(zhí)行，攻擊者會發(fā)送大量偽造的 DNS 請求數(shù)據(jù)包，這些數(shù)據(jù)包看起來與來自大量源 IP 的真實請求沒有什么不同。

這使得目標服務器無法區(qū)分合法的 DNS 請求和看似合法的 DNS 請求。 在嘗試服務所有請求時，服務器會耗盡其資源。 攻擊會消耗網(wǎng)絡中的所有可用帶寬，直到完全耗盡。

網(wǎng)絡電話泛濫

此版本的特定于應用程序的 UDP 泛洪針對 VoIP 服務器。 攻擊者從一個非常大的源 IP 集發(fā)送大量欺騙性的 VoIP 請求數(shù)據(jù)包。 當 VoIP 服務器充斥著欺騙性請求時，它會在嘗試為有效和無效請求提供服務時耗盡所有可用資源。

這會重新啟動服務器或對服務器的性能造成影響并耗盡可用帶寬。 VoIP 泛洪可以包含固定或隨機源 IP。 固定源 IP 地址攻擊不易檢測，因為它會自我掩飾，看起來與合法流量沒有什么不同。

媒體數(shù)據(jù)泛濫

與 VoIP 洪水一樣，服務器也可能受到音頻和視頻等媒體數(shù)據(jù)的攻擊。 攻擊者從一個非常大的源 IP 集合中發(fā)送大量的欺騙性媒體數(shù)據(jù)包。 當服務器充斥著欺騙性媒體數(shù)據(jù)請求時，它會耗盡所有可用資源和網(wǎng)絡帶寬來處理這些請求。

除了使用欺騙性媒體數(shù)據(jù)包攻擊服務器之外，這種攻擊在其他方面都類似于 VoIP 泛洪。 當它們使用固定源 IP 時，也很難檢測到這些攻擊，因為這給了它們一個合法的外觀。 該攻擊旨在消耗網(wǎng)絡中所有可用的服務器資源和帶寬，直到完全耗盡。

直接 UDP 泛洪

目標服務器受到大量 Non-Spoofed UDP 數(shù)據(jù)包的攻擊。 為了掩蓋攻擊，攻擊者不會欺騙 BOT 的實際 IP 地址。 用于執(zhí)行攻擊的 BOT 數(shù)量與此攻擊的源 IP 范圍相同。 該攻擊旨在消耗網(wǎng)絡中的所有可用帶寬和資源，直到它完全耗盡并關閉。 這種類型的 DDoS 攻擊也不容易檢測，因為它類似于合法流量。

ICMP 洪水

與 UDP 一樣，ICMP 堆棧也沒有用于數(shù)據(jù)交換的端到端過程。 這使得檢測 ICMP 洪水攻擊變得更加困難。 攻擊者從一個非常大的源 IP 集發(fā)送大量的欺騙性 ICMP 數(shù)據(jù)包。 當服務器充斥著大量的欺騙性 ICMP 數(shù)據(jù)包時，它的資源在嘗試處理這些請求時就會耗盡。 這種過載會重新啟動服務器或對其性能產生巨大影響。

ICMP 洪水攻擊可以通過在數(shù)據(jù)包中包含目標服務器的端口和 IP 地址來針對隨機服務器或網(wǎng)絡中的特定服務器。 這種攻擊的目標是消耗網(wǎng)絡中的帶寬，直到它耗盡可用帶寬。

ICMP 碎片泛濫

此版本的 ICMP 洪水攻擊通過發(fā)送更少的碎片 ICMP 數(shù)據(jù)包來發(fā)送更大的數(shù)據(jù)包以耗盡更多帶寬。 當目標服務器試圖將這些偽造的、沒有關聯(lián)的碎片化 ICMP 數(shù)據(jù)包放在一起時，它會失敗。 服務器最終耗盡其資源并重新啟動。