网络攻防学习笔记 Day39

TCP 洪流（Flood）：向目标主机发送大量设置了不同标志的 TCP 分组。常被利用的标志包括：SYN、ACK、RST。其中，TCP SYN 攻击导致目标主机不断地为 TCP 连接分配内存，从而使其他程序不能分配到足够的内存。Trinoo 就是一种分布式的 TCP SYN DoS 攻击工具。

ICMP Echo 请求/响应报文（如 Ping floods）：向目标主机发送大量的 ICMP 分组。

UDP 洪流：向目标主机发送大量各种基于 UDP 协议的应用协议包（如 NTP、SSDP 和 DNS 等）。使用 UDP 协议的好处是攻击时可以很方便地伪造源地址。

应用层协议：向目标直接或间接发送大量特定应用层协议数据包，常用作攻击的应用层协议有：HTTP/HTTPS、NTP、SSDP、DNS 和 SNMP 等。

一般系统中，半连接数的上限为 1024，超过此限制则不接受新的连接请求，即使是正常用户的连接请求（当然它不知道收到的连接请求是否来自于正常用户）。

TCP 连接耗尽型攻击，它通常会完成三次握手过程，即建立 TCP 连接。通过建立众多的 TCP 连接耗尽受害者的连接资源，从而无法接受正常用户的连接请求，因此也称为“空连接攻击”。

与 SYN Flood 攻击相比，这种攻击还有一点不同，即它不需要不停地向受害者发起连接请求，只需要连接数量到达一定程度即可，但是 SYN Flood 攻击必须不停地发，一旦停止受害者即可恢复。

HTTP 风暴型攻击的攻击原理是用 HTTP 协议对网页进行合法请求，不停地从受害者处获取数据，占用连接的同时占用网络带宽。为了尽可能地扩大攻击效果，这种攻击一般会不停地从受害者网站上下载大的文件（如大的图像和视频文件），从而使得一次请求占用系统更多的资源。

反射型拒绝服务攻击（DistributedReflection Denial of Service,DRDoS）在实施时并不直接向目标主机发送数据包，而是通过中间主机（反射器）间接向目标主机发送大量数据包，以达到拒绝服务攻击的目的。

攻击者实施 NTP 攻击一般分两步进行：

（1）扫描。利用扫描软件（如 Nmap）在互联网上扫描开放 123 端口的服务器，并进一步确定是否开启了 NTP 服务器。

（2）攻击。利用控制的僵尸网络伪造被攻击主机向 NTP 服务器发送 monlist 请求。