DDoS 攻击全名是 distributed denial-of-service attack,分布式拒绝攻击,是由DoS(denial-of-service)攻击发展而来。
攻击原理是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDoS 攻击利用处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器(傀儡机)并利用这些机器对受害者同时实施攻击。DDoS 攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。
DDoS 常包括以下类型的攻击:
- ICMP 泛洪:该攻击通过向目标 IP 发送大量 ICMP 包,占用带宽,从而导致合法报文无法达到目的地,达到攻击目的。
- Smurf 攻击:攻击者先使用受害主机的地址,向一个广播地址发送 ICMP 回响请求,在此广播网络上,潜在的计算机会做出响应,大量响应将发送到受害主机,此攻击后果同 ICMP 泛洪,但比之更为隐秘。
- SYN 泛洪:蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 连接而进行的攻击,该攻击利用 IP 欺骗,向受害者的系统发送看起来合法的 SYN 请求,而事实上该源地址不存在或当时不在线,因而回应的 ACK 消息无法到达目的,而受害者的系统被大量的这种半开连接充满,资源耗尽,而合法的连接无法被响应。
- UDP 泛洪:该攻击通过向目标 IP 发送大量 UDP 包,占用带宽,消耗资源。
- Fraggle 攻击:该攻击是 smurf 的变种,针对防火墙对 ICMP 包检查比较严格的前提下,不再向广播地址发 ICMP 请求包,而是改为发送 UDP 包。
- Small-packet 攻击:IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的资源。
- bad mac intercept:目的 MAC 地址等于源 MAC 地址的报文攻击。
- bad ip equal:目的 IP 地址等于源 IP 地址的报文攻击。