DDoS攻击按攻击方式划分有:泛洪攻击(Flood)、畸形报文攻击(Malformation)。
一、泛洪攻击,也叫Flood攻击,是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文,最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等
近年来,泛洪攻击又发展出了一种高级形式,我们称之为反射攻击。顾名思义,反射攻击并不是直接向攻击目标发起大量服务请求,而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标,都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求,并发送大量的应答报文给攻击目标,从而造成攻击目标性能耗尽
反射攻击大多是由UDP Flood变种而来,反射的是UDP报文,例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢?因为UDP的响应(Reponse)报文大小要大于请求(request)报文,这样攻击者就实现了对攻击流量的放大
以NTP报文为例,NTP的Monlist命令用来查询主机最近所有和服务器通信的记录,服务器会返回最多600个通信记录,这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器,那么反射给攻击目标的流量可想而知
二、畸形或特殊报文攻击通常指攻击者发送大量有缺陷或特殊控制作用的报文,从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击
DDoS攻击按TCP/IP协议分层划分有:网络层攻击、传输层攻击、应用层攻击,具体如下:
分层
DDoS攻击
网络层
IP地址扫描攻击、大部分特殊控制报文攻击、Teardrop攻击、Smurf攻击、IP分片报文攻击、ICMP Flood攻击
传输层
SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP连接耗尽攻击、UDP Flood(包括各种反射攻击)、TCP/UDP分片报文攻击、DNS Flood、DNS缓存投毒、其余各种与TCP、UDP报文和端口相关的攻击
应用层
HTTP Flood、HTTP慢速攻击、HTTPS Flood、SSL DDoS攻击、SIP Flood
