文档介绍:DDOS 各类攻击和防患 DDoS 攻击类型 1基于 IcMP 协议的 DDoS 攻击 IcMP 协议用于错误处理和传递控制信息,它的主要功能是用于主机之间的联络。它通过发送一个“回复请求”(echo request) 信息包请求主机响应,以判断与主机之间的连接是否正常。大多数系统将 TcP/IP 协议簇中的 ICMP 的数据报的数量规定为 64k 字节左右,例如 Windows2000 系统规定的最大值是 65527 字节,当数据报的数釜超过最大值时,系统将会产生内存分配错误。攻击者可以利用系统的这个漏洞, 伪造目标主机的 IP 地址向局域网内主机发布广播分组,当局域网内的主机接受到广播分组后,都会向目标主机发送 echo 响应信息包,而目标主机在处理 ICMP 时将会被大量的信息包淹没。这种攻击可以摧毁目标服务器,阻塞目标网络,致使合法用户无法登录网络。pin g ***软件和 smurf 攻击软件就是典型基于 IcMP 协议的攻击软件。 2基于 UDP 协议的 DDoS 攻击 uDP 协议是用来定义在网络环境中提供数据包交换的计算机通信协议,处在 TCP/IP 协议中 IP( 网络)层的上层。它为用户程序之间的信息传输提供了简便的协议机制,但不提供提交和复制的保护功能。 UDP 模块必须能够决定源主机和目标主机的网络地址,而且必须能够从报头中获得所使用的协议类型。可能的方式就是返回整个数据报,包括接收操作返回的数据报头,还应该允许 UDP 向IP传送带完整报头的数据报用于 IP传送,由 IP来确定数据的一致性和计算校验码。由于 uDP 不会脸证其发送的数据报是否被正确接收就会发送新的数据报,因此, 就可以伪造大量的数据报用于攻击目标主机。UDPnooder 是基于该协议的攻击软件。 3基于 TcP 协议的 DDoS 攻击 TCP 与UDP 不同,它是基于连接的协议。 TCP 协议要求在传送数据前必须在服务器与客户机之间建立连接。而建立代 P连接必须经过“三次握手”,即: 第一次:客户机发送带灯 N的连接请求。 sYN(Synchronize) 是同步的意思,同步连接将指出客户建立连接使用的端口号和 TcP 连接的初始序号。第二次:服务器在接收到 sYN 报文后,将响应一个 SYN+ACK(Acknowledgement) 的报文,表示接受请求,同时 TCP 序号加 1。第三次:客户端接收到服务器的确认信息后,同样返回一个 ACK 报文给服务器, 同样 TcP 序号加 1,至此, TCP 连接建立。而在建立 TCP 连接的过程中,如果在第二次握手以后,由于客户端或网路出现故障以及其它原因,致使服务器没有接收到来自客户端的第三次握手信息,服务器一般会重新发送 SYN+ACK 报文给客户端,并在等待一段时间后丢弃这个没有建立连接的请求。值得注意的是:服务器的用于等待来自客户机的ACK信息包的TCP/I P 堆栈是有限的,如果缓冲区被等待队列充满,它将拒绝下一个连接请求。那么,攻击者就可以利用这个漏洞,在瞬间伪造大量的 SYN 数据报,而又不回复服务器的 sYN+AcK 信息包,就可实现攻击企图。这类攻击软件有 SYNn flood 攻击软件等。此外,还有利用应用程序的漏洞实施的拒绝服务攻击,如 漏洞等。参考文献:《 DoS 和DDoS 攻击的实现原