ddos攻击分析_ddos攻击检测类型

hacker|
176

DDoS的攻击方式有哪些?如何辨别是不是DDOS攻击?

DDOS攻击是分布式拒绝服务攻击的简称,指处于不同位置的多个攻击者同时向一个或者数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。常见的攻击方式如下:

1、SYN Flood攻击

是当前网络上最为常见的DDOS攻击,它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

2、UDP Flood攻击

属于日渐猖獗的流量型DDOS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或者Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务,在UDP

Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。

3、ICMP Flood攻击

属于流量型的攻击方式,是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP

Flood出现的频度较低。

4、Connection Flood攻击

是典型的利用小流量冲击大带宽网络服务的攻击方式,这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器上残余连接过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的链接。

5、HTTP Get攻击

主要是针对存在ASP、JSP、PHP、CGI等脚本程序,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。它可以绕过普通的防火墙防护,通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的lP地址。

6、UDP DNS Query Flood攻击

采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

ddos按攻击行为特征分类有哪些

资源耗尽型:这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的 TCP、UDP 或 ICMP 数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常使用源地址欺骗,并不停地变化。这种攻击相对而言更加难以防御,因为合法数据包和无效数据包看起来非常类似。,通常出现流量性攻击时,高防服务器能够对数据进行实时的监控并进行智能的识别与分流,在高防服务器的流量防御范围内都能对流量型的攻击进行很好的防御

导致异常型:利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP 半开和 HTTP 错误就是应用攻击的两个典型例子,缓存溢出攻击-试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会溢出到其他的缓存之中,破坏或者覆盖其中的有效数据。

ddos攻击的常见类型有哪些?

网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。

传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。

会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。

应用层攻击:比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。

DDOS攻击包括哪些

1、TCP洪水攻击(SYN Flood)

TCP洪水攻击是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷;

发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。

导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

2、反射性攻击(DrDoS)

反射型的 DDoS 攻击是一种新的变种,与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果,从而四两拨千斤。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。

3、CC攻击(HTTP Flood)

HTTP Flood又称CC攻击,是针对Web服务在第七层协议发起的攻击。通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式,但是无法轻易识别的HTTP洪水。它的巨大危害性主要表现在三个方面:发起方便、过滤困难、影响深远。

4、直接僵尸网络攻击

僵尸网络就是我们俗称的“肉鸡”,现在“肉鸡”不再局限于传统PC,越来越多的智能物联网设备进入市场,且安全性远低于PC,这让攻击者更容易获得大量“肉鸡”;

也更容易直接发起僵尸网络攻击。根据僵尸网络的不同类型,攻击者可以使用它来执行各种不同的攻击,不仅仅是网站,还包括游戏服务器和任何其他服务。

5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击

然后通过构造畸形请求发送给服务器,服务器因不能判断处理恶意请求而瘫痪,造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类,当然也有可能不是那么全面,DDOS攻击的种类复杂而且也不断的在衍变,目前的防御也是随着攻击方式再增强。

DDOS攻击的种类介绍?

DDOS的种类介绍主要有两种:1.流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;2.资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。(上述内容仅适用于广东联通用户)

0条大神的评论

发表评论