一文讀懂分布式拒絕服務(wù)攻擊（DDoS攻擊）全類型

作者：鑄盾安全 2025-03-05 00:05:50

了解 DDoS 攻擊的類型，以便能夠阻止它們。各種各樣的資源都可能受到更多種類的 DDoS 攻擊。安全和運(yùn)營團(tuán)隊(duì)需要共同努力，在資源的可訪問性和性能與安全性和風(fēng)險(xiǎn)之間取得平衡。

分布式拒絕服務(wù) (DDoS) 攻擊是指攻擊者使用大量設(shè)備試圖壓垮資源并拒絕合法使用該資源。最常見的是，DDoS 攻擊針對暴露在互聯(lián)網(wǎng)上的網(wǎng)站、應(yīng)用程序或服務(wù)，但 DDoS 攻擊也可以針對特定的計(jì)算機(jī)、網(wǎng)關(guān)或內(nèi)部網(wǎng)絡(luò)資源。

為了防止 DDoS 攻擊，必須首先了解容量限制、協(xié)議或應(yīng)用程序 DDoS 攻擊這三大類 DDoS 攻擊之間的區(qū)別。但是，有些攻擊不屬于這三個(gè)類別，大多數(shù)攻擊者使用多種方法使他們的攻擊更難阻止。

主要的 DDoS 攻擊類型有哪些？

DDoS攻擊通常可以概括為三類攻擊：

容量（原始攻擊量）
協(xié)議（濫用 IT 協(xié)議）
應(yīng)用程序（濫用應(yīng)用程序功能）

這三個(gè)分類又包含細(xì)分?jǐn)?shù)十種DDoS攻擊類型，例如UDP、ICMP、IP、TCP 和 HTTP洪水攻擊及其變體。將在下面深入介紹類別和攻擊類型。

容量耗盡型 DDoS 攻擊

容量限制型 DDoS 攻擊試圖壓垮資源容量。服務(wù)器將因請求而超負(fù)荷，網(wǎng)絡(luò)將因流量而超負(fù)荷，數(shù)據(jù)庫也可能因調(diào)用而超負(fù)荷。

在互聯(lián)網(wǎng)上，DDoS 攻擊旨在使受攻擊網(wǎng)站的帶寬飽和，攻擊強(qiáng)度通常以每秒比特?cái)?shù)來衡量。容量耗盡型 DDoS 攻擊包括：多種不同的洪水攻擊（UDP、CharGen、ICMP）和濫用的應(yīng)用程序。

UDP 洪水攻擊

用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 不會(huì)與服務(wù)器建立雙向會(huì)話。相反，UDP 只是發(fā)送數(shù)據(jù)包而不等待回復(fù)。

此特性為洪水攻擊提供了完美的設(shè)置，洪水攻擊會(huì)嘗試發(fā)送足夠的數(shù)據(jù)包來淹沒正在監(jiān)聽其端口以查找真正的 UDP 流量的主機(jī)。攻擊者知道，在任何端口收到 UDP 數(shù)據(jù)包后，服務(wù)器必須檢查與該端口相對應(yīng)的應(yīng)用程序，并且協(xié)議將觸發(fā)服務(wù)器內(nèi)的自動(dòng)進(jìn)程。

攻擊者通過嵌入在 UDP 數(shù)據(jù)包中的 IP 地址和端口專門攻擊互聯(lián)網(wǎng)或網(wǎng)絡(luò)內(nèi)的服務(wù)器。攻擊旨在通過該處理請求壓垮服務(wù)器或占用網(wǎng)絡(luò)帶寬。

特定的 UDP 洪水攻擊可以使用：

域名服務(wù) (DNS)
網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP)
簡單服務(wù)發(fā)現(xiàn)協(xié)議 (SSDP)
媒體數(shù)據(jù)，例如音頻或視頻數(shù)據(jù)包
IP 語音 (VoIP) 電話數(shù)據(jù)包
網(wǎng)絡(luò)基本輸入輸出系統(tǒng)
點(diǎn)對點(diǎn) (P2P) 網(wǎng)絡(luò)，例如 BitTorrent 或 Kad 數(shù)據(jù)包
簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)
每日名言 (QOTD)
視頻游戲特定協(xié)議，例如 Quake 和 Steam

UDP Flood攻擊的變體包括：

UDP 碎片洪水： UDP 洪水攻擊的這種變體會(huì)向受害服務(wù)器發(fā)送更大但碎片化的數(shù)據(jù)包。服務(wù)器將嘗試組裝不相關(guān)的、偽造的和碎片化的 UDP 數(shù)據(jù)包，并可能在此過程中不堪重負(fù)。
特定的 UDP 放大攻擊：攻擊者無需使用大量受感染的設(shè)備，而是可以使用受害服務(wù)器作為偽造的 IP 地址，向大量合法服務(wù)器發(fā)送合法的 UDP 請求。這些合法服務(wù)器的響應(yīng)會(huì)突然壓垮目標(biāo)設(shè)備。放大攻擊中經(jīng)常使用的協(xié)議包括：NTP、SNMP 和 SSDP。

CharGEN洪水

CharGEN 協(xié)議于 1983 年開發(fā)，旨在用于調(diào)試、測量和測試。請求服務(wù)器通過端口 19 發(fā)送傳輸控制協(xié)議 (TCP) 或 UDP 請求來觸發(fā)該協(xié)議。然后，接收設(shè)備通過相同的協(xié)議向服務(wù)器響應(yīng)：

通過 TCP 回復(fù)任意生成的字符
通過 UDP 回復(fù)隨機(jī)數(shù)

發(fā)送設(shè)備丟棄從主機(jī)服務(wù)器接收到的任何信息。

攻擊者會(huì)偽造目標(biāo)服務(wù)器的 IP 地址，并向運(yùn)行 CharGEN 的聯(lián)網(wǎng)設(shè)備（如打印機(jī)和復(fù)印機(jī)）發(fā)送大量請求。然后這些設(shè)備會(huì)響應(yīng)請求，并用端口 19 流量轟炸服務(wù)器。如果防火墻沒有阻止端口 19，那么服務(wù)器可能會(huì)因嘗試分析和響應(yīng)隨機(jī)流量而變得不堪重負(fù)。

ICMP（Ping）洪水攻擊

互聯(lián)網(wǎng)控制消息協(xié)議由網(wǎng)絡(luò)設(shè)備之間發(fā)送的特定錯(cuò)誤消息和操作信息命令組成，例如時(shí)間戳、超時(shí)錯(cuò)誤、回顯請求和回顯回復(fù)。回顯請求和回顯回復(fù)組合成“ping”命令。

攻擊者使用大量設(shè)備向服務(wù)器發(fā)送偽造的 Ping 數(shù)據(jù)包，而無需等待服務(wù)器回復(fù)。該協(xié)議要求服務(wù)器接收請求并做出響應(yīng)，這會(huì)消耗傳入和傳出帶寬。

ICMP碎片洪水

ICMP 碎片洪水攻擊是 ICMP 洪水攻擊的一種變體，它發(fā)送碎片化的 ICMP 數(shù)據(jù)包而不是完整形成的命令。受害服務(wù)器會(huì)嘗試從偽造的 ICMP 數(shù)據(jù)包中重建有效命令，并會(huì)耗盡資源，試圖在故意不相關(guān)的碎片之間建立聯(lián)系。

濫用應(yīng)用程序攻擊

在濫用應(yīng)用程序攻擊中，黑客會(huì)破壞合法服務(wù)器（如 P2P 服務(wù)器）上現(xiàn)有的高流量應(yīng)用程序。然后，來自一臺(tái)或多臺(tái)受感染機(jī)器的流量將被重定向到受害服務(wù)器，黑客將退出系統(tǒng)并允許其自主運(yùn)行。

由于受感染的應(yīng)用程序試圖使用正確格式的數(shù)據(jù)包建立有效連接，因此大多數(shù)防御工具都會(huì)允許該連接。受害服務(wù)器將因流量激增而無法承受。

協(xié)議 DDoS 攻擊

協(xié)議 DDoS 攻擊并不嚴(yán)格使用絕對數(shù)量，而是濫用協(xié)議來壓垮特定資源，通常是服務(wù)器，但有時(shí)是防火墻或負(fù)載平衡器。這些攻擊通常以每秒數(shù)據(jù)包數(shù)來衡量。

IP 空攻擊

所有符合 Internet 協(xié)議版本 4 的數(shù)據(jù)包都包含標(biāo)頭，這些標(biāo)頭應(yīng)指定該數(shù)據(jù)包使用的傳輸協(xié)議是 TCP、ICMP 等。但是，攻擊者可以將標(biāo)頭設(shè)置為空值，并且如果沒有丟棄這些數(shù)據(jù)包的具體指令，服務(wù)器將消耗資源來嘗試確定如何傳送這些數(shù)據(jù)包。

TCP 洪水攻擊

傳輸控制協(xié)議 (TCP) 規(guī)定了不同設(shè)備通過網(wǎng)絡(luò)進(jìn)行通信的方式。各種 TCP 洪水攻擊都濫用基本的 TCP 協(xié)議，通過欺騙或畸形數(shù)據(jù)包來破壞資源。

要理解不同的攻擊，了解 TCP 的工作原理會(huì)很有幫助。傳輸控制協(xié)議需要三個(gè)通信序列來建立連接：

SYN：請求設(shè)備（端點(diǎn)或服務(wù)器）將同步序列號(hào)以數(shù)據(jù)包形式發(fā)送到服務(wù)器或其他目標(biāo)設(shè)備（端點(diǎn)）。
SYN-ACK：服務(wù)器以同步序列號(hào)加確認(rèn)號(hào)（ACK）組成的響應(yīng)來響應(yīng)SYN數(shù)據(jù)包。
ACK：請求設(shè)備向服務(wù)器發(fā)送回響應(yīng)確認(rèn)號(hào)（原始 ACK 號(hào) + 1）。

傳輸通過由四部分組成的終止序列結(jié)束：

FIN：請求設(shè)備向服務(wù)器發(fā)送會(huì)話終止請求（FIN）。
ACK：服務(wù)器向請求設(shè)備回應(yīng)一個(gè)ACK響應(yīng)，請求設(shè)備將等待接收FIN數(shù)據(jù)包。
FIN：服務(wù)器以 FIN 數(shù)據(jù)包（可能幾乎同時(shí)）向請求設(shè)備做出響應(yīng)。
ACK：請求設(shè)備向服務(wù)器返回最終的 ACK 響應(yīng)，并關(guān)閉會(huì)話。

當(dāng)服務(wù)器收到意外的 TCP 數(shù)據(jù)包時(shí)，服務(wù)器將發(fā)送一個(gè) RST（重置）數(shù)據(jù)包以重置通信。

濫用 TCP 協(xié)議的洪水攻擊試圖使用格式錯(cuò)誤的 TCP 傳輸來壓垮系統(tǒng)資源。

SYN 洪水攻擊：攻擊者從偽造的 IP 地址或設(shè)置為忽略響應(yīng)的服務(wù)器發(fā)送大量 SYN 請求數(shù)據(jù)包。受害服務(wù)器以 SYN-ACK 數(shù)據(jù)包響應(yīng)并保持通信帶寬開放，等待 ACK 響應(yīng)。
SYN-ACK 洪水攻擊：攻擊者向受害服務(wù)器發(fā)送大量偽造的 SYN-ACK 響應(yīng)。目標(biāo)服務(wù)器將占用資源，嘗試將響應(yīng)與不存在的 SYN 請求進(jìn)行匹配。
ACK Flood：攻擊者向服務(wù)器發(fā)送大量偽造的 ACK 響應(yīng)，這會(huì)占用資源，試圖用不存在的 SYN-ACK 數(shù)據(jù)包匹配 ACK 響應(yīng)。TCP PUSH 功能也可用于此類攻擊。
ACK 碎片洪水： ACK 洪水攻擊的一種變體，該方法使用最大大小為 1,500 字節(jié)的碎片數(shù)據(jù)包來濫用最大 IP 數(shù)據(jù)包長度 65,535 字節(jié)（包括報(bào)頭）。當(dāng)服務(wù)器和路由器等其他資源嘗試重建碎片數(shù)據(jù)包時(shí)，重建會(huì)超出分配的資源，并可能導(dǎo)致內(nèi)存溢出錯(cuò)誤或使資源崩潰。
RST/FIN 洪水攻擊：攻擊者使用偽造的 RST 或 FIN 數(shù)據(jù)包來淹沒服務(wù)器，并嘗試將數(shù)據(jù)包與不存在的開放 TCP 會(huì)話匹配，從而消耗資源。
多個(gè) ACK 欺騙會(huì)話洪水：在此變體中，攻擊者發(fā)送多個(gè) ACK 數(shù)據(jù)包，然后發(fā)送 RST 或 FIN 數(shù)據(jù)包，以更徹底地模仿實(shí)際 TCP 流量并欺騙防御。當(dāng)然，這些數(shù)據(jù)包是欺騙性的，服務(wù)器將消耗其資源，試圖將虛假數(shù)據(jù)包與不存在的開放 TCP 會(huì)話進(jìn)行匹配。
多個(gè) SYN-ACK 欺騙會(huì)話洪水：此變體使用多個(gè) SYN 和 ACK 數(shù)據(jù)包，后面還跟有 RST 或 FIN 數(shù)據(jù)包。與多個(gè) ACK 欺騙會(huì)話洪水一樣，欺騙數(shù)據(jù)包會(huì)嘗試模仿合法 TCP 流量，并嘗試將虛假數(shù)據(jù)包與合法流量匹配，從而浪費(fèi)服務(wù)器資源。
同義 IP 攻擊：為了執(zhí)行此方法，攻擊者會(huì)偽造 SYN 數(shù)據(jù)包，使用受害服務(wù)器的 IP 地址作為數(shù)據(jù)包的源 IP 地址和目標(biāo) IP 地址。然后，無意義的數(shù)據(jù)包會(huì)消耗資源，因?yàn)榉?wù)器會(huì)嘗試響應(yīng)自身（又稱局域網(wǎng)拒絕攻擊或 LAND 攻擊）或解決從自身接收數(shù)據(jù)包的矛盾，而這些矛盾與無法匹配的 TCP 會(huì)話的開放通信有關(guān)。

會(huì)話攻擊

攻擊者不必使用偽造的 IP 地址或偽造的數(shù)據(jù)包即可發(fā)起 DDoS 攻擊。會(huì)話攻擊使用多個(gè)機(jī)器人來達(dá)到或超過源 IP 范圍，并與目標(biāo)服務(wù)器發(fā)起合法的 TCP 會(huì)話。來自真實(shí) IP 地址的合法 TCP 會(huì)話可以避免 DDoS 檢測，但攻擊會(huì)延遲 ACK 數(shù)據(jù)包以消耗帶寬并耗盡資源以維持空會(huì)話。

慢蜂

與會(huì)話攻擊類似，Slowloris 攻擊試圖通過空通信消耗服務(wù)器資源。對于這種攻擊，攻擊者向 Web 服務(wù)器發(fā)送部分 HTTP 請求，以盡可能長時(shí)間保持盡可能多的會(huì)話打開。這些攻擊占用的帶寬非常少，很難檢測到。

死亡之Ping

Ping of Death 攻擊濫用了 IP 數(shù)據(jù)包的最大長度 65,535 字節(jié)（包括報(bào)頭），其方式與 ACK Fragmentation Flood 類似。由于通過以太網(wǎng)發(fā)送數(shù)據(jù)的最大幀大小通常設(shè)置為 1,500 字節(jié)，因此攻擊者將發(fā)送多個(gè)符合以太網(wǎng)限制的 IP 片段，但這些片段將組合成一個(gè)超過最大 IP 數(shù)據(jù)包長度的數(shù)據(jù)包。當(dāng)接收方計(jì)算機(jī)重新組合 IP 片段時(shí)，它可能會(huì)溢出分配給數(shù)據(jù)包的內(nèi)存緩沖區(qū)或?qū)е掠?jì)算機(jī)崩潰。

Smurf 攻擊

名為 Smurf 的惡意軟件程序利用 IP 和 ICMP 協(xié)議，向具有目標(biāo)設(shè)備 IP 地址的路由器的廣播地址發(fā)送大量偽造的 ICMP ping 請求。網(wǎng)絡(luò)上的每個(gè)設(shè)備都會(huì)響應(yīng) ping 請求，并可能使接收設(shè)備不堪重負(fù)。自 1999 年以來，大多數(shù)路由器默認(rèn)不會(huì)轉(zhuǎn)發(fā)發(fā)送到廣播地址的數(shù)據(jù)包，這種攻擊效果并不好。

碎片攻擊

Fraggle 攻擊是 Smurf 攻擊的一種變體，它通過欺騙 UDP 數(shù)據(jù)包而不是 ICMP 數(shù)據(jù)包，通過針對網(wǎng)絡(luò)路由器的廣播地址來使受害計(jì)算機(jī)不堪重負(fù)。網(wǎng)絡(luò)上的每個(gè)設(shè)備都會(huì)響應(yīng) UDP 請求，并可能使接收設(shè)備不堪重負(fù)。默認(rèn)情況下，自 1999 年以來，大多數(shù)現(xiàn)代路由器都不會(huì)轉(zhuǎn)發(fā)發(fā)送到廣播地址的數(shù)據(jù)包，這降低了此攻擊的有效性。

低軌道離子炮（LOIC）

Low Orbit Ion Cannon 開源軟件旨在成為一種網(wǎng)絡(luò)壓力測試工具，它會(huì)向目標(biāo)設(shè)備發(fā)送大量數(shù)據(jù)包（UPD、TCP、HTTP）。不幸的是，攻擊者會(huì)將此攻擊部署到僵尸網(wǎng)絡(luò)并利用它執(zhí)行 DDoS 攻擊。

高軌道離子炮 (HOIC)

高軌道離子炮應(yīng)用程序用一個(gè)公開可用的應(yīng)用程序取代了低軌道離子炮，該應(yīng)用程序可以同時(shí)向多達(dá) 256 個(gè)不同的域提交大量 GET 和 HTTP POST 請求。當(dāng)被惡意攻擊者使用時(shí)，HOIC 可能比 LOIC 更強(qiáng)大、更具破壞性。

應(yīng)用程序 DDoS 攻擊

應(yīng)用程序 DDoS 攻擊針對應(yīng)用程序中的漏洞，導(dǎo)致應(yīng)用程序本身出現(xiàn)故障。與其他專注于破壞基礎(chǔ)設(shè)施的攻擊不同，這種攻擊專注于第 7 層軟件。但是，它也可能導(dǎo)致 CPU 過載或內(nèi)存耗盡，從而影響服務(wù)器和其他應(yīng)用程序。應(yīng)用程序 DDoS 攻擊的強(qiáng)度以每秒請求數(shù)來衡量。

例如，計(jì)算量大的過程（如將商品添加到購物車或進(jìn)行結(jié)賬）可能會(huì)被濫用，并發(fā)出許多并發(fā)請求，從而超出程序的限制或主機(jī)的資源。其他攻擊針對軟件中的特定漏洞或使用SQL 注入來破壞數(shù)據(jù)庫。

具有特定名稱的應(yīng)用程序 DDoS 攻擊包括：

HTTP 洪水攻擊

HTTP 洪水攻擊濫用 HTTP 命令，試圖壓垮網(wǎng)站、托管網(wǎng)站的服務(wù)器以及用于訪問網(wǎng)站的帶寬。這些攻擊中使用的機(jī)器人可以連續(xù)發(fā)送多個(gè)請求，因此僵尸網(wǎng)絡(luò)中的大量機(jī)器會(huì)成倍增加目標(biāo)網(wǎng)站的流量。

GET 攻擊：攻擊者使用僵尸網(wǎng)絡(luò)發(fā)送大量針對大文件（例如大型 PDF 文件或視頻）的并發(fā) GET 請求。
POST 攻擊：大量機(jī)器人發(fā)送大量并發(fā) POST 請求，其中包含大文件以存儲(chǔ)在目標(biāo)服務(wù)器上。
低速慢速 POST 攻擊：攻擊者通常使用 RU-Dead-Yet? (RUDY) 工具執(zhí)行攻擊，他們發(fā)送 HTTP Post 請求，表示他們將發(fā)送大量數(shù)據(jù)，但隨后會(huì)非常緩慢地發(fā)送少量數(shù)據(jù)。這種攻擊可避開尋找大容量攻擊的 DDoS 防御措施，并占用服務(wù)器上的資源。
單一會(huì)話或單一請求攻擊：許多反 DDoS 防御措施現(xiàn)在會(huì)阻止大量傳入數(shù)據(jù)包，因此攻擊者會(huì)利用 HTTP 1.1 中的漏洞將許多不同的請求包含在單個(gè) HTTP 數(shù)據(jù)包中。
碎片化 HTTP 洪水攻擊：僵尸網(wǎng)絡(luò)不會(huì)發(fā)送大量有效請求，而是建立有效的 HTTP 連接，并將 HTTP 數(shù)據(jù)包拆分為小片段，并以服務(wù)器允許的最慢速度發(fā)送。這種低速慢速攻擊使用的數(shù)據(jù)包速率對許多 DDoS 防御措施來說似乎是安全的，但軟件或服務(wù)器會(huì)保持會(huì)話處于活動(dòng)狀態(tài)，并消耗保留帶寬的資源。Slowloris 工具可實(shí)現(xiàn)這種類型的攻擊。
遞歸 GET 洪水：攻擊者試圖通過請求長列表頁面或圖片來壓垮服務(wù)器。這種攻擊看似是正常的瀏覽行為，但僵尸網(wǎng)絡(luò)只是在消耗資源，現(xiàn)在無法用于合法流量。
隨機(jī)遞歸 GET 洪水：遞歸 GET 洪水的一種變體，這種攻擊會(huì)隨機(jī)化請求的頁面以避免被發(fā)現(xiàn)。

重做

正則表達(dá)式拒絕服務(wù)嘗試請求算法上高度復(fù)雜的搜索模式，從而浪費(fèi)資源甚至導(dǎo)致系統(tǒng)崩潰。

還有其他DDoS攻擊類型嗎？

盡管容量攻擊、協(xié)議攻擊和應(yīng)用程序攻擊是最常見的 DDoS 攻擊形式，但有些攻擊并不屬于明確的分類。

高級(jí)持久性 DoS (APDoS)

APDoS 是黑客用來造成嚴(yán)重破壞的一種攻擊類型。它使用多種攻擊方式，例如 HTTP 泛洪和 SYN 泛洪，并定期針對每秒發(fā)出數(shù)百萬個(gè)請求的多個(gè)攻擊媒介。APDoS 攻擊可以持續(xù)數(shù)周，這主要是因?yàn)楹诳湍軌螂S時(shí)切換策略并制造干擾以逃避安全防御。

多向量攻擊

攻擊者可以部署多個(gè)并發(fā)攻擊來造成 DDoS。例如，攻擊者可能會(huì)使用容量耗盡攻擊來分散防御者的注意力，同時(shí)從另一個(gè)僵尸網(wǎng)絡(luò)執(zhí)行低帶寬 HTTP 洪水攻擊。

零日 DDoS 攻擊

攻擊者可能會(huì)發(fā)現(xiàn)應(yīng)用程序、協(xié)議或硬件的未公開漏洞并執(zhí)行 DDoS 攻擊。當(dāng)利用新漏洞時(shí)，這種攻擊就是零日攻擊。

綜述：阻止和預(yù)防 DDoS 攻擊

冗余對于防御和恢復(fù) DDoS 攻擊至關(guān)重要，但眾所周知，專職攻擊者會(huì)同時(shí)攻擊多個(gè) Web 服務(wù)器，因此負(fù)載平衡器和冗余是不夠的。創(chuàng)紀(jì)錄的 DDoS 攻擊成為頭條新聞，并說明了基于 Web 的 DDoS 攻擊的潛在數(shù)量巨大：