网络宽带资源的DDoS攻击防御(ICMP/UDP洪水攻击)

  • A+
所属分类:DDoS防御

DDoS攻击层出不穷,攻击网络宽带资源是DDoS常见的攻击方式。使用大量的受控主机向被攻击目标发送大量的网络数据包,以沾满被攻击目标的宽带,并消耗服务器和网络设备的网络数据处理能力,达到拒绝服务的目的。

直接攻击的主要方法有ICMP/IGMP洪水攻击和UDP洪水攻击两种。

网络宽带资源的DDoS攻击防御(ICMP/UDP洪水攻击)

网络宽带资源的DDoS攻击防御(ICMP/UDP洪水攻击)

ICMP/UDP洪水攻击

网络控制消息协议(ICMP)是TCP/IP协议族的核心协议之一,它用于在TCP/IP网络中发送控制消息,提供可能发生在通信环境的各种问题反馈,通过这些消息,管理者可以对所发生的问题做出诊断,然后采取适当的解决措施。

因特网组管理协议(IGMP)是用于管理因特网协议多播组成员的一种通信协议,IP主机和相邻的路由器利用IGMP来建立多播组的组成员。

攻击者使用受控主机向被攻击目标发送大量的ICMP/IGMP报文,进行洪水攻击以消耗目标的宽带资源,这种类型的攻击出现的很早,使用hping等工具就能简单的发起攻击。但现在使用这种方法发动的攻击已见不多,被攻击目标可以在其网络边界直接过滤并丢弃ICMP/IGMP数据包使攻击无效化。

UDP洪水攻击

用户数据包协议(UDP)是一种面向无连接的传输层协议,主要用户不要求分组顺序到达的传输,提供面向实事务的简单的不可靠信息传送服务。

利用UDP数据报文,攻击者也可以发送洪水攻击,UDP洪水攻击和ICMP/IGMP洪水攻击的原理基本相同,通常,攻击者会使用小包和大包两种方式进行攻击。

小包是指64字节大小的数据包,这是以太网上传输数据帧的最小值,在相同流量下,单包体积越小,数据包的数量就越多。由于交换机、路由器等网络设备需要对没一个数据包进行检查和校验,因此使用UDP小包攻击能够最有效的增大网络设备处理数据包的压力,造成处理速度的缓慢和传输延迟等拒绝服务攻击的效果。

大包是指1500字节以上的数据包,其大小超过了以太网的最大传输单元,使用UDP大包攻击,能够有效的占用网络接口的传输宽带,并迫使被攻击目标在接受到UDP数据时进行分片重组,造成网络拥堵,服务器响应速度变慢。

UDP洪水攻击也是很早就出现的一种拒绝服务攻击方式,这种攻击发动简单,有相当多的工具都能够发动UDP洪水攻击,如hping,LOIC等,但UDP洪水攻击完全依靠受控主机本身的网络性能,因此通常对目标宽带资源的消耗并不太大。

可以尝试阿里云DDoS高防IP:

阿里云DDoS高防IP优惠

阿里云1000元代金券大礼包免费领取

阿里云代金券

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: