分散式阻斷服務(wù)攻擊（DDoS）

攻擊者從遠端控制多個傀儡機器同時對受害主機做大量的攻擊。

控制指令：加密或隱藏在正常流量中。

1. DDoS攻擊程序范例
2. Trinoo
3. TFN

反射式攻擊與放大式攻擊

與DDoS不同，中間系統(tǒng)是未被感染的。反射/放大式攻擊利用網(wǎng)絡(luò)系統(tǒng)正常的功能。

攻擊程序：

1. 攻擊者送出一個偽造來源IP地址的封包給在某一個服務(wù)器上執(zhí)行的服務(wù)。
2. 服務(wù)器回復(fù)一個封包給偽造IP地址（受害主機）。
3. 可以同時寄發(fā)大量具有相同偽造來源IP地址的封包給多個服務(wù)器。
4. 巨量的回復(fù)封包阻塞受害主機的網(wǎng)絡(luò)或是讓受害主機疲于處理大量回復(fù)封包。

反射式攻擊以小換大，以小封包換大封包，小的request換大的response。

放大式攻擊以少換多，以少封包換多封包，一個request換多個response。

反射式攻擊（Reflection attacks）

1. 反射器（Reflector）：反射攻擊封包的中間設(shè)備。
2. 攻擊者確保攻擊流量與正常流量相似，以免被偵測。
3. 回復(fù)封包大小>原始封包大小。
4. 中間系統(tǒng)通常是高效能的服務(wù)器/路由器。

反射式攻擊案例一（TCP/SYN）

利用建立TCP連線的三方握手程序。

SYN反射式攻擊并不能放大封包，但是此時服務(wù)器（中間設(shè)備）也是受害者。

攻擊者發(fā)送出一系列的連線建立SYN封包給服務(wù)器，但來源IP地址偽造成受害主機的IP地址。

服務(wù)器回復(fù)一系列的SYN/ACK封包給受害主機。

可利用大量服務(wù)器來加倍攻擊力度。

反射式攻擊案例二（DNS）

DNS服務(wù)器被當(dāng)成反射器。

小查詢封包換大回復(fù)封包。

攻擊者發(fā)送出一系列的DNS查詢封包給DNS服務(wù)器，但來源IP地址偽造成受害主機的IP地址。

DNS服務(wù)器回復(fù)一系列的DNS回復(fù)大封包給受害主機。

可利用多個DNS服務(wù)器來加倍攻擊力度。

放大式攻擊（Amplification attacks）

1. 放大器（Amplifier）：放大攻擊封包的中間設(shè)備。
2. 攻擊者確保攻擊流量與正常流量相似，以免被偵測。
3. 回復(fù)封包數(shù)量>原始封包數(shù)量。
4. 中間系統(tǒng)通常是整個子網(wǎng)絡(luò)中的主機（通常有多臺）。

利用中間網(wǎng)絡(luò)（intermediate network的大量主機。

利用ICMP echo request封包的ping flooding，例如：Smurf DoS program。

利用UDP service，例如：Fraggle program。

TCP服務(wù)不適合放大式攻擊，因為只有一對一回復(fù)。放大式攻擊的防御方法是：不允許外不來的廣播封包進入網(wǎng)絡(luò)。

反射流量分析（Backscatter Analysis）

The UCSD Network Telescope（網(wǎng)絡(luò)望遠鏡）是一個被動的異常流量觀測系統(tǒng)。又稱為網(wǎng)絡(luò)黑洞（black hole）。

建立在全球連通的但很少使用的Class A網(wǎng)絡(luò)（/8 network），約占用所有Ipv4網(wǎng)址的1/256，由于ISP很少供應(yīng)此網(wǎng)段的IP地址給用戶，因此該網(wǎng)段平常幾乎沒有正常流量，就被當(dāng)成黑洞來收集或是觀測異常流量。

互聯(lián)網(wǎng)背景輻射（Internet Background Radiation，IBR）

將流入黑洞的流量先濾掉合法的流量，剩下的流量代表不請自來的異常流量，這些異常流量可以視為互聯(lián)網(wǎng)上的背景輻射。

IBR流量可能來自多種事件，如：

1. 隨機數(shù)假造來源IP地址的DoS攻擊的反射封包。
2. 蠕蟲或是病毒自動產(chǎn)生的IP地址的封包。
3. 攻擊者或惡意程序?qū)ふ衣┒粗鳈C的封包。
4. 疏忽誤輸入的IP地址。

The UCSD Network Telescope可用來觀測DDoS攻擊假造來源IP地址的散布度（spread of random-source）。因為黑洞范圍約占1/256的IPv4網(wǎng)址，所以可以收集到約1/256的假造網(wǎng)址。

觀測這些異常封包，可以知道關(guān)于受害者主機以及相應(yīng)攻擊的信息：

攻擊者攻擊力道（Volume of the attack）

受害主機頻寬（Bandwidth of the victim）

受害主機位置（Location of the victim）

攻擊者針對的服務(wù)類型（Types of services）

但是無法觀測使用真實IP地址和非隨機數(shù)產(chǎn)生的IP地址攻擊。 

本文鏈接：http://m.51huadong.com/cloundnews/11007299.html