DDoS 攻击分类:
以下分别从网络层/运输层的DDoS攻击和应用层的DDoS攻击两个角度来对DDoS攻击进行分类:
A:网络层/运输层的DDoS攻击:
这种攻击方式通常会使用TCP,UDP,ICMP以及DNS协议的数据包。
- 洪水攻击:攻击者通过损耗受害者被攻击网络的合法带宽,来破坏合法用户的连接。例如欺骗性/非欺骗性的UDP洪水攻击,ICMP洪水攻击,DNS洪水攻击,以及VoIP洪水攻击。
- 开发协议洪水攻击:攻击者通过受害者使用的协议的特定特征以及协议实现存在的bug大量消耗受害者的资源。例如TCP SYN洪水攻击,TCP SYN-ACK洪水攻击,ACK&PUSH ACK洪水攻击,RST/FIN 洪水攻击。
- 基于应答的洪水攻击:攻击者通过发送伪造的请求,并不是直接请求。服务器将他们的响应发送到受害者网络,来耗尽被攻击端的资源。例如smurf 和fraggle攻击。
- 基于放大的洪水攻击:简而言之就是流量放大,攻击者通过服务器为其产生的每条消息来生成大量并大规模的消息,来放大对被攻击端的损害。
B:应用层的DDoS攻击:
这种攻击通常集中于通过消耗服务器资源来影响合法用户的服务。例如(Sockets,CPU,内存,带宽),跟容量耗尽攻击相比,其应用层的DDoS攻击通常消耗更少的带宽,并且本质上更为隐蔽,因为它与良性的流量比较类似。然而因为他们所针对的是应用层的特定特征,所以对服务器产生的影响差不多。常见的如DNS放大洪水攻击和SIP洪水攻击。
- 基于应答和放大的洪水攻击:与网络层/运输层的基于应答/放大的洪水攻击类似,发送的是伪造的应用层水平的请求。
- HTTP洪水攻击:
2.1 会话洪水攻击
来自攻击者的会话连接请求要高于来自合法用户的会话连接请求,会大量消耗服务器的资源。
2.2 单会话多请求
该攻击由许多HTTP的get和post请求所组成,该攻击利用了HTTP1.1的特征,允许一个会话中包含着多个请求。
2.3 不对称攻击
攻击者发送的会话连接中包含着高工作量的请求。
2.4 缓慢请求/响应攻击
攻击者发送的会话连接中包含着高工作量的请求。