包括低速和慢速攻擊、GET/POST 泛洪攻擊、針對(duì) Apache、Windows 或 OpenBSD 漏洞的攻擊等。由看似合法且無辜的請(qǐng)求組成，這些攻擊的目標(biāo)是使 Web 服務(wù)器崩潰，其大小以每秒請(qǐng)求數(shù) (Rps) 衡量。

常見的 DDoS 攻擊類型

一些最常用的 DDoS 攻擊類型包括：

UDP泛洪

根據(jù)定義，UDP 泛洪是使用用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 數(shù)據(jù)包泛濫目標(biāo)的任何 DDoS 攻擊。攻擊的目標(biāo)是淹沒遠(yuǎn)程主機(jī)上的隨機(jī)端口。這會(huì)導(dǎo)致主機(jī)重復(fù)檢查在該端口偵聽的應(yīng)用程序，并且（當(dāng)未找到應(yīng)用程序時(shí)）使用 ICMP“目標(biāo)無法到達(dá)”數(shù)據(jù)包進(jìn)行回復(fù)。此過程會(huì)消耗主機(jī)資源，最終導(dǎo)致無法訪問。

ICMP (Ping) 泛洪

原理上與 UDP 泛洪攻擊類似，ICMP 泛洪使用 ICMP 回聲請(qǐng)求 (ping) 數(shù)據(jù)包淹沒目標(biāo)資源，通常會(huì)盡快發(fā)送數(shù)據(jù)包，而無需等待回復(fù)。這種類型的攻擊會(huì)消耗傳出和傳入帶寬，因?yàn)槭芎φ叩姆?wù)器通常會(huì)嘗試使用 ICMP 回聲回復(fù)數(shù)據(jù)包進(jìn)行響應(yīng)，從而導(dǎo)致整體系統(tǒng)速度顯著下降。

同步洪水

SYN 泛洪 DDoS 攻擊利用了 TCP 連接序列中的一個(gè)已知弱點(diǎn)（“三次握手”），其中啟動(dòng)與主機(jī)的 TCP 連接的 SYN 請(qǐng)求必須由該主機(jī)的 SYN-ACK 響應(yīng)來回答，并且然后由請(qǐng)求者的 ACK 響應(yīng)確認(rèn)。在 SYN 泛洪場(chǎng)景中，請(qǐng)求者發(fā)送多個(gè) SYN 請(qǐng)求，但要么不響應(yīng)主機(jī)的 SYN-ACK 響應(yīng)，要么從欺騙性 IP 地址發(fā)送 SYN 請(qǐng)求。無論哪種方式，主機(jī)系統(tǒng)都會(huì)繼續(xù)等待每個(gè)請(qǐng)求的確認(rèn)，綁定資源直到無法建立新連接，最終導(dǎo)致 拒絕服務(wù)。

Ping of Death

Ping of Death（“POD”）攻擊涉及攻擊者向計(jì)算機(jī)發(fā)送多個(gè)格式錯(cuò)誤或惡意的 ping。IP 數(shù)據(jù)包（包括包頭）的最大數(shù)據(jù)包長(zhǎng)度為 65,535 字節(jié)。然而，數(shù)據(jù)鏈路層通常對(duì)最大幀大小有限制——例如以太網(wǎng)網(wǎng)絡(luò)上的 1500 字節(jié)。在這種情況下，一個(gè)大的 IP 數(shù)據(jù)包被拆分成多個(gè) IP 數(shù)據(jù)包（稱為片段），接收主機(jī)將 IP 片段重新組裝成完整的數(shù)據(jù)包。在Ping of Death 場(chǎng)景中，在對(duì)片段內(nèi)容進(jìn)行惡意操作之后，接收方最終得到一個(gè)重新組合后大于 65,535 字節(jié)的 IP 數(shù)據(jù)包。這可能會(huì)溢出為數(shù)據(jù)包分配的內(nèi)存緩沖區(qū)，從而導(dǎo)致拒絕為合法數(shù)據(jù)包提供服務(wù)。

Slowloris

Slowloris是一種針對(duì)性很強(qiáng)的攻擊，它使一個(gè) Web 服務(wù)器能夠關(guān)閉另一臺(tái)服務(wù)器，而不會(huì)影響目標(biāo)網(wǎng)絡(luò)上的其他服務(wù)或端口。Slowloris 通過盡可能長(zhǎng)時(shí)間地保持與目標(biāo) Web 服務(wù)器的連接打開來做到這一點(diǎn)。它通過創(chuàng)建到目標(biāo)服務(wù)器的連接來實(shí)現(xiàn)這一點(diǎn)，但只發(fā)送部分請(qǐng)求。Slowloris 不斷發(fā)送更多 HTTP 標(biāo)頭，但從未完成請(qǐng)求。目標(biāo)服務(wù)器使這些錯(cuò)誤連接中的每一個(gè)保持打開狀態(tài)。這最終會(huì)溢出最大并發(fā)連接池，并導(dǎo)致拒絕來自合法客戶端的額外連接。

NTP放大

在 NTP 放大攻擊中，肇事者利用可公開訪問的網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 服務(wù)器通過 UDP 流量淹沒目標(biāo)服務(wù)器。該攻擊被定義為放大攻擊，因?yàn)樵谶@種情況下，查詢與響應(yīng)的比率介于 1:20 和 1:200 之間或更高。這意味著任何獲得開放 NTP 服務(wù)器列表的攻擊者（例如，通過使用像 Metasploit 這樣的工具或來自開放 NTP 項(xiàng)目的數(shù)據(jù)）都可以輕松地發(fā)起毀滅性的高帶寬、高容量 DDoS 攻擊。

HTTP 洪水

在 HTTP 泛洪 DDoS 攻擊中，攻擊者利用看似合法的 HTTP GET 或 POST 請(qǐng)求來攻擊 Web 服務(wù)器或應(yīng)用程序。HTTP 洪水不使用格式錯(cuò)誤的數(shù)據(jù)包、欺騙或反射技術(shù)，并且比其他攻擊需要更少的帶寬來摧毀目標(biāo)站點(diǎn)或服務(wù)器。當(dāng)攻擊迫使服務(wù)器或應(yīng)用程序分配盡可能多的資源以響應(yīng)每個(gè)請(qǐng)求時(shí)，攻擊是最有效的。

零日 DDoS 攻擊

“零日”定義涵蓋所有未知或新的攻擊，利用尚未發(fā)布補(bǔ)丁的漏洞。該術(shù)語(yǔ)在黑客社區(qū)的成員中廣為人知，交易零日漏洞的做法已成為一種流行的活動(dòng)。

DDoS 攻擊背后的動(dòng)機(jī)

根據(jù)最近的市場(chǎng)研究，DDoS 攻擊正迅速成為最普遍的網(wǎng)絡(luò)威脅類型，在過去一年中在數(shù)量和數(shù)量上都迅速增長(zhǎng)。趨勢(shì)是攻擊持續(xù)時(shí)間更短，但每秒數(shù)據(jù)包攻擊量更大。

攻擊者的主要?jiǎng)訖C(jī)是：

意識(shí)形態(tài)——所謂的“黑客行動(dòng)主義者”使用 DDoS 攻擊作為針對(duì)他們?cè)谝庾R(shí)形態(tài)上不同意的網(wǎng)站的一種手段。

商業(yè)爭(zhēng)端——企業(yè)可以使用 DDoS 攻擊戰(zhàn)略性地關(guān)閉競(jìng)爭(zhēng)對(duì)手的網(wǎng)站，例如，阻止他們參加網(wǎng)絡(luò)星期一等重大活動(dòng)。

無聊——網(wǎng)絡(luò)破壞者，又名“腳本小子”，使用預(yù)先編寫的腳本來發(fā)起 DDoS 攻擊。這些攻擊的肇事者通常很無聊，想成為黑客，尋求刺激。

勒索——犯罪者使用 DDoS 攻擊或 DDoS 攻擊的威脅作為向目標(biāo)勒索錢財(cái)?shù)氖侄巍?/p>

網(wǎng)絡(luò)戰(zhàn)——政府授權(quán)的 DDoS 攻擊可用于削弱反對(duì)派網(wǎng)站和敵國(guó)的基礎(chǔ)設(shè)施。