DDOS攻击是什么？十几种常见DDOS攻击原理

互联网的快速发展，也DDOS攻击日益猖獗和便利，从原来的的兆单位到如今G单位和百G单位的流量攻击，使得DDOS攻击已经成为不可忽视的网络安全课题。DDOS攻击：中文全称分布式拒绝服务攻击，英文全写Distributed Denial of Service。我把DDOS攻击按攻击方式划分为三类，一类带宽阻塞型攻击，超量的数据包将服务器或服务器群的出口造成阻塞，使正常的访问无法进入或访问目标服务缓慢；二类是资源耗尽型攻击，通过各种数据包消耗系统资源，如连接、磁盘存储、内存等，从而正常用户的服务访问不能正常进行；三类是畸形包攻击，利用畸形的报文使目标主机在收到报文后读取报文内容时产生崩溃。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存磁盘大大增加，网络带宽也增加迅速，这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机来发起进攻，比从前更大的规模来进攻受害者。

上面讲了一下DDOS攻击是什么，下面讲一下常见的DDOS攻击的攻击原理。
Syn flood：利用了TCP三次握手中的弱点。具体的方法是：攻击主机向目标主机发出SYN报文发起TCP连接，但是攻击主机并不回复最后一个ack报文，使得TCP握手无法完成，而目标主机在TCP握手中需要分配资源维持这些未完成的连接，当这样的连接到达一定数目后，目标主机就无法再响应其他的连接请求。构造出Synflood报文比较容易，只要将syn位置1，然后连接目标主机的某个可用服务的端口即可。
Udp flood：由于UDP协议是无连接的，因此它不可能占用目标主机的连接数，而只是通过发送大量UDP报文占用目标主机的带宽。通常情况下可以认为这是一种自杀式的攻击，因为在发送报文的过程中，不仅目标主机带宽被占用，发包主机的带宽也会收到严重的影响。构造udpflood报文不需要很特殊的置位，只要在同一时间内发送足够多数量的UDP报文就可以形成。
ICMP flood：原理同UDPflood，不同的是报文中装载的是ICMP报文。
CC攻击：向受害者发起大量HTTP Get/Post请求，主要请求动态页面，涉及到数据库访问操作，消耗受害者服务器有效资源，从而无法响应正常的请求。
IPsweep：严格的说，IPsweep并不能算是正式的攻击，IPsweep的过程只是向各个地址发送ping包等待回应，用以探测网络中存活的主机，从而为下一步的攻击做准备。
Portscan：一种端口扫描方式。其方法是对指定目标的端口发送SYN报文发起TCP连接，如果主机返回的是SYN+ACK，那么表示这个端口上有相应的服务开放，如果主机返回的是RST，那么说明这个端口没有服务在监听。
Land：在Land攻击中主要运用了两种手段：IP欺骗和SYNflood。Land攻击的原理是在IP首部将目标主机的IP同时填写为源地址和目的地址，然后再封装一个SYN的TCP报文发送出去，这样，收到报文的主机要向源地址响应SYN并且维持一个未完成的连接，而源地址又是它本身，因此这样循环进行下去后会最终造成主机资源耗尽无法响应请求。
Smurf：Smurf攻击是一种综合了IP欺骗和洪泛攻击的攻击手段。首先，报文的内容被构造成需要回应的特定请求（如ICMP request），而报文的源地址被伪造成要攻击的目标主机，收到该报文的主机将会对报文发起响应（如ICMP reply），而响应报文就会全部发送到伪造的源地址。通常情况下为了产生更大的报文流量，目标地址会构造成某个子网的广播地址，这样只要发送一个报文就能产生一个子网的流量，使攻击的效果更加明显。相比于传统的洪泛攻击，smurf攻击不占据自己的带宽，并且有利于隐藏自己的地址。
PING of death：正常的IP报文长度不能超过65535字节，这是由IP首部的16位长度字段决定的，收到超过65535字节的IP报文系统会出错。但是由于IP分片和偏移量的存在，使得我们可以够造出超过65535字节的IP报文。首先，13位的偏移量其最大值为8191，也就是说它所能表示最大的偏移量是65528，同时我们知道IP分片的最后一个报文是没有偏移量的，但是每个报文有各自的报文长度。那么分片报文到达目的后需要进行重组，重组后的IP报文长度就是用最大的一个偏移量加上最后一个报文的长度，虽然偏移量限定在65528，但是单个报文长度却可以做得很大，例如1000，那么最后得到重组的报文长度就是65528+1000=66528，超出了65535的限制，那么收到这样的报文的主机就有可能产生崩溃死机等情况。
WinNuke：针对windows系统的DoS攻击。攻击报文中将URG置位，同时将目标端口设为139端口，139端口是netbios协议的端口，当这样一份报文发送到目标主机后，会产生netbios的碎片重叠，导致主机崩溃。
Ip option攻击：IP option是IP报文首部的可选信息，其中可以带有调试控制信息，也可以带有一些路由信息或安全性的信息，但是事实上IP选项信息在通信中基本是不需要的，一般的路由器接收到它们后都会选择丢弃，而IP选项如果配置错误——例如配置不完整，字段残缺——收到报文的主机会出现错误。
TearDrop：利用IP碎片重组的攻击。在IP报头中的偏移量字段，它本身表示的是该分片相对于未分片的报文的数据的偏移量，假如收到的报文中，第二个分片的报文的偏移量小于它前一个报文的长度，在进行分片重组时会消耗主机巨大的资源，造成不能响应正常的服务。
Targa3：向目标主机发送长度、标识、地址、端口等都随机的碎片报文，令目标主机的协议栈在处理这些不规范数据的时候产生崩溃，影响正常服务的提供。
IP欺骗：构造数据报文时将IP首部的源地址进行修改，变成其他的IP地址，这种手段通常作为一些攻击的辅助手段进行，隐藏自己的地址，同时将攻击引导到目标主机上，一个典型的应用就是smurf攻击。

PS：DDOS攻击流量多种多样，很多DDOS攻击不是预设防御策略所能够防范的，一般情况下是发现攻击后人为的分析攻击包特征，针对性的进行防御。