[TOC] ## 消耗网络带宽资源 * 攻击者利用受控主机发送大量的网络数据包，占满攻击目标的带宽，使得正常请求无法达到及时有效的响应 * ICMP Flood ICMP 洪水攻击，攻击者通过受控主机向目标发送大量的ICMP请求，以消耗目标带宽资源 * UDP Flood UDP 洪水攻击，是目前主要的DDoS攻击手段， 攻击者会使用小包和大包的攻击方法，小包可增加网络设备处理数据包的压力，大包攻击能够严重消耗网络带宽资源 反射与放大攻击 攻击者不直接攻击目标，而是利用互联网某些特殊服务开放的服务器、路由器等（反射器），发送伪造请求，通过反射器对请求产生应答，反射攻击流量，同时达到隐藏攻击源的目的，也称为 DRDoS（分布式反射拒绝服务攻击） * DNS 放大 利用伪造的 IP 地址（受害者的 IP 地址）向开放式 DNS 服务器发出请求后，目标 IP 地址将收到服务器发回的响应 * DNS 响应的数据包比查询的数据包大，攻击者发送的DNS查询数据包大小一般为 60 字节左右，而查询返回的数据包的大小通常在3000字节以上，因此放大倍数能达到50倍以上，放大效果惊人 ## 消耗系统资源 * 主要通过对系统维护的连接资源进行消耗，使其无法正常连接，以达到拒绝服务的目的，此类攻击主要是因为TCP 安全性设计缺陷引起的 * TCP Flood TCP三次握手后，客户端与服务端进行 ESTABLISHED 状态，服务器会保存连接信息到连接表内，但是这个表有大小限制，一旦服务器接收的连接数超过了连接表的最大存储量，就无法接收新的请求，达到拒绝服务目的 * SYN Flood 在三次握手中，如果服务端返回了 SYN+ACK 报文后，客户端没有进行确认回答，那么服务端就会重传，并等待客户端确认，直到TCP超时，这种状态称为半开连接；通过受控主机向目标发送大量 SYN 报文，使服务器打开大量半开连接，而连接无法马上结束，因此连接表被占满，无法建立新的 TCP 连接，造成拒绝服务 * SYN 洪水 利用 TCP 握手，通过向目标发送大量带有伪造源IP地址的 TCP SYN 数据包来实现 * 目标计算机响应每个连接请求，然后等待握手中的最后一步，但这一步确永远不会发生，因此在此过程中耗尽目标的资源 ## 消耗应用资源 * 消耗应用资源攻击通过向应用提交大量消耗资源的请求，以达到拒绝服务的目的 * HTTP Flood（CC攻击） 攻击者利用受控主机对目标发起大量 HTTP 请求，要求Web服务器进行处理，超量的请求会占用服务器资源，直到目标请求饱和，无法响应正常请求；主要分为 HTTP GET攻击和HTTP POST攻击 * 慢速攻击 * 依赖慢速流量，主要针对应用程序或服务器资源。慢速攻击所需的带宽非常少，且难以缓解，其生成的流量很难与正常流量区分开，攻击者使用单台计算机就可以成功发起慢速攻击。慢速攻击以web服务器为目标，旨在通过慢速请求捆绑每个线程，从而防止真正的用户访问服务，这个过程通过非常缓慢的传输数据来完成，但同时又可以防止服务器超时 * HTTP 洪水攻击 类似于同时在大量不同计算机的 Web 浏览器中一次又一次地刷新 ，大量 HTTP 请求涌向服务器，导致拒绝服务 * 这种类型的攻击较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL；复杂版本可能使用大量攻击性 IP 地址，并使用随机 referrer 和用户代理来针对随机网址