淺析各類DDOS防火墻應對攻擊時的表現
拒絕服務攻擊作為流行的攻擊方式被各企業所忌憚?,F在目前網上DDOS攻擊的主要手段有很多種。本篇文章就將通過集中主流DDOS攻擊方式的簡述從而進行DDOS防火墻面對這些攻擊形式時的表現對比。
SYN-FLOOD:
老牌DDOS攻擊方式,利用TCP協議三次握手的弱點發起的攻擊,特點是攻擊源地址是虛假地址,不容易跟蹤到攻擊源。攻擊者在單位時間內構造的TCP-SYN數據包數量越多,其攻擊效果就越顯著。
單一原址SYN攻擊:
針對目前群集防御利用三層交換設備(如Cisco三層交換機)進行端口聚合和負載均衡時均衡算法的漏洞,使用真實的或者虛擬成單一源地址和相同的源端口進行攻擊。此種攻擊方式在大部分三層交換設備上會通過單一線路進行交換,從而削弱群集防御的效果。
真實原址SYN攻擊:
針對某些軟件防火墻和硬件防火墻的防御原理,專門針對防火墻的反向尋址防御方式發起的攻擊方式。最近兩年網絡傀儡機價值鏈的建立,使得真實原址SYN攻擊成為現在互聯網上較多的一種攻擊方式,攻擊者通過控制的眾多的傀儡機進行攻擊數據包的發送。
SYN大包攻擊:
和一般SYN攻擊不同,SYN大包攻擊是通過構造超大的TCP數據包,造成被攻擊目標網絡堵塞的方式達到攻擊效果,和普通SYN不同,發起同樣流量的攻擊,發送超大數據包占用發送端的系統資源更少。
UDP大包攻擊:
相對于TCP協議數據包而言,攻擊端僅需要更少的系統資源就能構建出UDP數據包,這也為攻擊者大肆發送UDP攻擊包提供了條件,UDP攻擊一般是通過超大數據包堵塞網絡帶寬來實現。
代理CC攻擊:
最初由中華攻客的攻擊軟件引發的互聯網大量代理CC攻擊。通過收集互聯網上出現的大量免費開放代理服務器,通過對這些服務器提交大量針對攻擊目的地址的訪問請求,由代理服務器中轉進行的攻擊。代理CC攻擊因其發起端僅需要一條普通寬帶線路,其攻擊地址又是真實地址(代理服務器地址),曾一度使得眾多網絡運營者深受其害。
SYN-ACK、PSH-ACK等:
針對TCP連接的各種弱點發起的攻擊方式。
傳奇DB攻擊:
專門針對傳奇數據庫的攻擊方式,也是由中華攻客最先寫的攻擊程序,其攻擊方式是模擬傳奇客戶段賬號創建動作,使得傳奇服務器癱瘓。
傳奇刷小人攻擊:
通過不停的上下線和模擬登陸,使得傳奇服務器癱瘓。
針對以上這些攻擊方式,各類防火墻表現大致相同:
【編輯推薦】