常见的网络层DDoS攻击方式有哪些-行业新闻

常见的网络层DDoS攻击方式有哪些?

编辑作者：发布时间：2019-04-10

　　常见的网络层DDoS攻击方式有哪些今天就有锐速云的技术人员为大家介绍一下：

　　1、SYN-Flood攻击

　　SYN-Flood攻击是指攻击者利用TCP三次握手的原理，向目标主机发送大量SYN标志的TCP请求，当服务器接收的这些请求数据包的时候，会为这些连接请求建立会话，并且把这些并未建立完整连接的会话排到缓冲区队列中。攻击者可以发送源地址为假的分组，等待服务器发送分组，而由于源地址为假，因为系统发送回来的分组就等不到源地址主机的响应，因此，服务器的带宽和资源将在维持大量的这类半连接上被消耗掉，一旦请求超过了服务器的缓冲区容量，此时服务器就不能再接收新的连接请求了。此时其他合法的用户就无法建立与服务器的连接。

　　2、ACK-Flood攻击

　　ACK Flood攻击。在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似，只不过防火墙只拦截非法的数据包，而不主动回应。

　　对比主机以及防火墙在接收到ACK报文和SYN报文时所做动作的复杂程度，显然ACK报文带来的负载要小得多。所以在实际环境中，只有当攻击程序每秒钟发送ACK报文的速率达到一定的程度，才能使主机和防火墙的负载有大的变化。当发包速率很大的时候，主机操作系统将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。这时候客户端(以IE为例)的表现就是访问页面反应很慢，丢包率较高。但是状态检测的防火墙通过判断ACK报文的状态是否合法，借助其强大的硬件能力可以较为有效的过滤攻击报文。当然如果攻击流量非常大(特别是千兆线路上，我们曾经观察到200~300Mbps左右的ACK Flood)，由于需要维护很大的连接状态表同时要检查数量巨大的ACK报文的状态，防火墙也会不堪重负导致全网瘫痪。

　　3、UDP-Flood攻击

　　UDP在Internet中的应用是比较广泛的，尤其在一类实时性要求较高，而对数据包传输的完整性要求不高的应用来说，这其中以视频和即时通信最为典型，这些服务首先要求保证的不是质量而是实时性。UDP Flood常发生对DNS服务器以及流媒体视频服务器上，UDP是基于无连接的协议，当攻击目标接收到一个UDP数据包时，它会确定目的端口所对应的应用程序。当攻击目标主机发现该应用程序并不存在时，会产生一个目的地址无法连接的ICMP数据包发

　　送给源地址。如果向攻击目标主机的端口发送了足够多的UDP数据包的时候，攻击目标主机就会崩溃。常见的UDP攻击有NTP攻击。

　　4、ICMP攻击

　　ICMP Flood 的攻击原理和ACK Flood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文，因此ICMP Flood出现的频度较低。

上一篇:服务器虚拟主机是如何防御DDos攻击的下一篇:中小企业如何选择DDoS防御方案? 返回列表 >>