浅析DDoS的攻击方式之直接攻击

我们都知道，互联网实际上是由大量的网络设备将大量终端连接起来所组成的一个庞大的网络，如果想获取某台服务器上的服务资源，则需要将请求数据通过特定链路传输到这台服务器上。

无论是服务器的网络接口带宽，还是路由器、交换机等互联网基础设备，其数据包处理能力都是存在着的事实上的上限的，当到达或通过的网络数据包数量超过了这个上限时，就会出现网络拥堵、响应缓慢的情况。

消耗网络带宽资源的分布式拒绝服务攻击的原理，简单来说，就好像你下班回家每天经历的遭遇，不管是开车还是做公共交通，都会面临拥堵的情况，你如同那些数据包一样一直堵在路上，是不是会感到很苦恼呢？类似与此，利用受控主机发送大量的网络数据包，占满被攻击目标的全部带宽，从而使正常的请求无法得到及时有效的响应，就造成了拒绝服务。

直接攻击使用大量的受控主机直接向被攻击目标发送大量的网络数据包，就是为了以占满被攻击目标的网络带宽，并消耗服务器和网络设备的网络数据处理能力，这样达到拒绝时服务的目的。直接攻击的主要方法包括ICMP/IGMP和UDP Flooding这两种攻击方式。

1.回家堵车之ICMP/IGMP：

（1）ICMP Flooding

网络控制消息协议（Internet Control Message Protocol，ICMP）是TCP/IP协议族的核心协议之一。它用于在UCP/IP网络中发送控制消息，提供可能发生的通信环境中的各种问题反馈。通过这些信息，管理者可以对所发生的问题做出诊断，然后采取适当的措施解决。

（2）IGMP Flooding

因特网组管理协议（Internet Group Management Protocol，IGMP）是用于管理因特网协议多播组成员的一种通信协议。IP主机和相邻的路由器利用IGMP来建立多播组的组成员。

攻击者使用受控主机向被攻击目标发送大量的ICMP/IGMP报文，进行洪水攻击以小号目标的网络带宽资源。这种类型的攻击出现的很早，使用hping等工具就能够简单的发起攻击。但是现在使用这种方法发动的攻击已经不是很多见，被攻击目标可以在其网络辩解直接过滤并丢弃ICMP/IGMP的数据包，这样是攻击者的攻击失效即可。

2.回家堵车之UDP Flooding：

UDP洪水攻击：

用户数据报协议（User Datagram Protocol，UDP）是一种面向无连接的传输层协议，主要用于不要求分组顺序到达的传输，提供面向事务的简单的不可靠信息传送服务。

利用UDP数据报文，攻击者也可以发动洪水攻击。UDP洪水攻击和ICMP/IGMP洪水攻击的原理基本一样。通常，攻击者会使用小包和大包两种方式进行攻击。

小包通常是指64字节大小的数据包，这是以太网上传输数据帧的最小值。在相同流量下，单包体积越小，数据包的数量就越多。由于交换机、路由器等网络设备需要相对每一个数据包进行检查和校验，因此使用UDP小包攻击的能够最有效的增大网络设备对数据处理能力的消耗，造成处理速度的缓慢和传输延迟等拒绝式服务攻击的效果。

大包通常是指1500字节以上的数据包，其大小超过了以太网的最大传输单元（叫做MTU）。使用UDP大包攻击，能够有效的占用网络接口的传输带宽，并迫使被攻击目标在接收到UDP数据时进行了分片重组，造成了网络拥堵，服务器响应速度慢。

UDP Flooding 攻击也是很早就出现了一种拒绝式服务攻击的方式，这种攻击发动简单，有相当多的工具都够发动UDP 洪水攻击，如hping、LOIC等。但UDP洪水攻击完全依靠受控主机本身的网络性能，因此通常对攻击目标带宽资源的消耗并不是太大。

——END——