DDoS技术鉴赏

1. ICMP包攻击
2. UDP包攻击
3. 反射攻击
4. 放大攻击
5. 连接表攻击
6. SYN洪水

ICMP包攻击

所谓ICMP包攻击指的是通过常见的ping命令发送ICMP包请求对方服务器，一台机器可能微不足道，但上千万台机器可就无法无视了。 这种方式也被称为ICMP洪水（ICMP Flood）

UDP包攻击

与ICMP相似，发送给对方服务器UDP包，基于UDP协议的特性，发送者只管发不需要考虑是否发送到目的地，但UDP包会暴露攻击设备IP地址，因此发送前会被伪造发送源IP。

反射攻击

即，发件人设置为受害者IP，收件人设置为反射代理服务器。 这样，攻击者发送包给反射服务器，反射服务器会以为是受害者服务器发送的请求，进而发送大量回复给受害者服务器，从而冲爆受害者服务器的带宽。

放大攻击

利用DNS服务器的特性，即发送方以少量数据请求能获得大量数据回复。当请求DNS服务器时，假设请求是60B，那么DNS会返回3000B的数据，此时如果你伪造请求方IP，那么你发送大量请求给DNS服务器，DNS服务器会返还数倍于请求体积的数据给受害方，从而冲爆受害方的服务器。 带宽放大因子 BAF BAF = 3000/60 = 50

连接表攻击

基于TCP协议特性，在沟通前需要建立三次握手，服务器和客户端每次建立一个TCP连接时，会将连接信息放入连接表中维护，但连接表的大小是有限的，那么我们可以发起大量TCP连接从而占满整个TCP表令其他人无法建立TCP连接，这种方式称为TCP洪水

SYN攻击

基于TCP协议特性，在沟通前需要建立三次握手，倘若只发送SYN不作后续答复，那么基于特性，由于长时间没收到答复，受害者服务器会重发数次，利用这一特性可以消耗掉服务器资源。由于受害者服务器重传也会影响自己电脑，因此需要伪装请求源IP

TCP 反射攻击

与一般反射攻击原理相似，只不过是将请求源IP设置为受害者服务器IP，收件地址设置为反射器或肉鸡，这样，当你请求反射器时，反射器以为是受害者服务器发的请求，进而返回大量SYN+ACK数据包。

RST洪水

在TCP中，以四次挥手作为结束连接，为防止出现异常，一方可以发送RST请求强行中断连接，这样我们让攻击设备不断尝试伪造各种IP地址并发送RST数据进行盲打，一旦IP与某一真实用户的设备匹配上，那么就会中断该用户与服务器的联系。 常见于游戏中，许多游戏依赖TCP协议通信。例如英雄联盟比赛或者APEX比赛。

防范手段

呼吁用户养成良好的上网习惯是长期战略目标

防范技术：

1. 路由路径检测
2. CDN

路由路径检测

即A发送给B的包正常来说是RouterK->RouterJ->RouterX而不是RouterC->RouterD->RouterF。通过检测路由路径就能判断是否是伪装的

CDN

CDN原意是为了避免中国用户访问美国资源时由于物理线路导致速度缓慢的问题，但也能用来缓解DDOS攻击，DDOS攻击是分布式的，意味着攻击者可能是来自五湖四海的主机，那么部署CDN节点能有效的降低服务器受击打面积。原本64台主机的攻击目标是主服务器，但由于CDN的存在，消化了大部分请求，抵达主服务器的请求可能也就几个而已

流量清洗服务

一种新兴的服务模式，代价是十分昂贵。 在肉鸡发送请求给受害服务器时，流量清洗设备会挡在受害服务器前，如果肉鸡发送TCP请求，流量清洗设备就会发送答复给请求，如果没后续，就弃之不理，反之如果收到答复就说明是正常流量，就将请求转给受害者服务器。由于流量清洗设备专门用于应对各类DDos攻击，因此开发商做出了专门的优化。 此外此类开发商由于常年从事DDOS防御工程，因此会拥有一套IP信用库，根据IP信用库筛选正常流量也十分可靠