常见的DOS/DDOS攻击【收集】

1.TearDrop攻击

    Teardrop攻击是一种拒绝服务攻击，是一种基于UDP的病态分片数据包的攻击方法，英文“Tear”是“眼泪”的意思，“drop”是“掉落”的意思，顾名思义，Teardrop攻击是一种令人落泪的攻击手段，可见其破坏威力很强大。

Teardrop攻击原理：

    Teardrop攻击工作原理是攻击者A给受害者B发送一些分片IP报文，并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠，也可错开)，B在组合这种含有重叠偏移的伪造分片报文时，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP 0x0000000A错误。

Teardrop攻击防御方法：

    网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的IP地址对报文进行分组，源IP地址和目的IP地址均相同的报文归入同一组，然后对每组IP报文的相关分片信息进行检查，丢弃分片信息存在错误的报文。为了防止缓存益处，当缓存快要存满是，直接丢弃后续分片报文。添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

2.LAND攻击

    LAND攻击（局域网拒绝服务攻击，英语：Local Area Network Denial attack，缩写：LAND attack），是拒绝服务攻击（DoS攻击）的一种，通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包，致使缺乏相应防护机制的目标设备瘫痪。这种攻击方法最早在1997年被某人以“m3lt”的名称提出，并于多年之后的Windows Server 2003、Windows XP SP2等操作系统中重现。

LAND攻击原理

    这种攻击方式采用了特别构造的TCP SYN数据包（通常用于开启一个新的连接），使目标机器开启一个源地址与目标地址均为自身IP地址的空连接，持续地自我应答，消耗系统资源直至崩溃。这种攻击方法与SYN洪泛攻击并不相同。 [1] 

其他类型的LAND攻击在类似SNMP和Windows 88/tcp（Kerberos 协议）的服务中也有发现。类似的系统存在设计上的缺陷，允许设备接受并响应来自网络、却宣称来自于设备自身的数据包，导致循环应答。

3.Smurf攻击

    Smurf攻击是一种病毒攻击，以最初发动这种攻击的程序“Smurf”来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

    Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

攻击的过程是这样的：Woodlly Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是Woodlly希望攻击的系统。

这种攻击的前提是，路由器接收到这个发送给IP广播地址（如206.121.73.255）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器因因特网上接收到该分组，会对本地网段中的所有主机进行广播。

读者肯定能够想到下面会发生什么情况。网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。

    由于多数系统都会尽快地处理ICMP传输信息，Woodlly Attacker把分组的源地址设置为目标系统，因此目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。

这种攻击不仅影响目标系统，还影响目标公司的因特网连接。如果反弹站点具有T3连接（45Mbps），而目标系统所在的公司使用的是租用线路（56Kbps），则所有进出该公司的通讯都会停止下来。

这种攻击已经很少见,大多数的网络已经对这种攻击免疫了 。

攻击检测

（1）ICMP 应答风暴的检测

    对网络进行监控和统计发现, 若出现Smurf 攻击， 则会出现大量的echo 报文。由于存在echo 应答风暴， 此时，echo 报文在所有报文中所占的比例大大增加。所以，如出现这种情况， 就可能遭到了Smurf 攻击。

（2）报文丢失率和重传率的上升

由于echo 风暴造成网络负载过重，会出现大量报文丢失和报文重传现象。所以，若有明显的报文丢失率和重传率上升现象，就有可能遭到了Smurf 攻击。

（3）常出现意外的连接重置的现象

    在受到Smurf 攻击时， 由于网络重载，会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置，也可能受到了Smurf 攻击。

    挫败一个Smurf攻击的最简单的方法就是对边界路由器的回音应答（echo reply）信息包进行过滤，然后丢弃他们，使网络避免被湮没。

4.WinNuke攻击

    winnuke是利用NetBIOS协议中一个OOB（Out of Band）的漏洞，也就是所谓的带外数据漏洞而进行的，它的原理是通过TCP/IP协议传递一个Urgent紧急数据包到计算机的137、138或139端口，当win95/NT收到这个数据包之后就会瞬间死机或蓝屏，不重新启动计算机就无法继续使用TCP/IP协议来访问网络。 

    带外数据OOB是指TCP连接中发送的一种特殊数据，它的优先级高于一般的数据，带外数据在报头中设置了URG标志，可以不按照通常的次序进入TCP缓冲区，而是进入另外一个缓冲区，立即可以被进程读取或根据进程设置使用SIGURG信号通知进程有带外数据到来。

    后来的Winnuke系列工具已经从最初对单个IP的攻击发展到可以攻击一个IP区间范围的计算机，可以检测和选择端口，并且可以进行连续攻击，还能验证攻击的效果，所以使用它可以造成某个IP地址区间的计算机全部蓝屏死机。 

    此类攻击是由于利用软件开发过程中对某种特定类型的报文或请求没有处理，导致软件遇到这类型报文时运行出现异常，软件崩溃甚至系统崩溃。防范此类攻击的方法就是升级系统或给系统打补丁，也可以删除NetBIOS协议或关闭137、138、139端口。

5.Fraggle攻击

    类似于Smurf，使用UDP应答消息而非ICMP。UDP端口7（ECHO）和端口19（Chargen）在收到UDP报文后，都会产生回应。在UDP的7号端口收到报文后，会回应收到的内容，而UDP的19号端口在收到报文后，会产生一串字符流。它们都同ICMP一样，会产生大量无用的应答报文，占满网路带宽。攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包，端口号用7或19.子网络启用了此功能的每个系统都会向受害者的主机做出响应，从而引发大量的包，导致受害网络的阻塞或受害主机的崩溃；子网上没有启动这些功能的系统将产生一个ICMP不可达的消息，因而仍然消耗带宽。也可将源端口改为Chargen。目的端口为ECHO，这样会自动不停地产生回应报文，其危害性更大。 

处理方法： 

    检查进入防火墙的UDP报文，若目的端口号为7或19，则直接拒绝，并将攻击记录到日志，否则允许通过。

6. 死亡之ping

    最简单的基于IP的攻击可能要数著名的死亡之ping，这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。产生这样的包很容易，事实上，许多操作系统都提供了称为ping的网络工具。在为Windows操作系统中开一个DOS窗口，输入ping -l 65500 目标ip -t （65500 表示数据长度上限，-t 表示不停地ping目标地址）就可达到该目的。UNIX系统也有类似情况。

    死亡之ping是如何工作的呢？首先是因为以太网长度有限，IP包片段被分片。当一个IP包的长度超过以太网帧的最大尺寸（以太网头部和尾部除外）时，包就会被分片，作为多个帧来发送。接收端的机器提取各个分片，并重组为一个完整的IP包。在正常情况下，IP头包含整个IP包的长度。当一个IP包被分片以后，头只包含各个分片的长度。分片并不包含整个IP包的长度信息，因此IP包一旦被分片，重组后的整个IP包的总长度只有在所在分片都接受完毕之后才能确定。

在IP协议规范中规定了一个IP包的最大尺寸，而大多数的包处理程序又假设包的长度超过这个最大尺寸这种情况是不会出现的。因此，包的重组代码所分配的内存区域也最大不超过这个最大尺寸。这样，超大的包一旦出现，包当中的额外数据就会被写入其他正常区域。这很容易导致系统进入非稳定状态，是一种典型的缓存溢出（Buffer Overflow）攻击。在 防火墙一级对这种攻击进行检测是相当难的，因为每个分片包看起来都很正常。

    由于使用ping工具很容易完成这种攻击，以至于它也成了这种攻击的首选武器，这也是这种攻击名字的由来。当然，还有很多程序都可以做到这一点，因此仅仅阻塞ping的使用并不能完全解决这个漏洞。预防死亡之ping的最好方法是对操作系统打补丁，使内核将不再对超过规定长度的包进行重组。

7. DNS query flood

    该攻击是UDP Flood的一种变形，由于DNS服务在互联网中有着不可替代的作用，一旦DNS服务器瘫痪，影响很大。

    UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域 名超时。

    根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道，在一台P3的PC机上可以轻易 地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS 服务器的脆弱性。同时需要注意的是，蠕虫扩散也会带来大量的域名解析请求。

8.CC攻击

    CC攻击是基于应用层HTTP协议发起的DDos攻击，也被称为HTTP Flood。

    CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求，如数据库查询等，导致服务器进行大量计算而很快达到自身的处理能力而形成DOS，而攻击者一旦发送请求给代理后就主动断开连接，因为代理并不因为客户端这边连接的断开就不去连接目标服务器，因此攻击机的资源消耗相对很小，而从目标服务器看来，来自代理的请求都是合法的。

本文标签：

转载请注明出处： http://www.itsec365.cn/?id=64