DDoS的带宽消耗攻击类型有:1、TCP洪流攻击,消耗系统资源的同时会拥塞受害者的网络接入带宽;2、UDP 洪流攻击,会使受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据,导致网络拥塞;3、ICMP洪流攻击,通过代理向受害主机发送大量ICMP报文,使受害主机网络带宽饱和。
具体内容如下:
TCP洪流攻击
在早期的DoS攻击中,攻击者只发送TCP SYN报文,以消耗目标的系统资源。而在 DDoS 攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送TCP SYN报文的同时,还发送ACK, FIN, RST报文以及其他 TCP 普通数据报文,这称为 TCP 洪流攻击。该攻击在消耗系统资源(主要由 SYN,RST 报文导致)的同时,还能拥塞受害者的网络接入带宽。由于TCP协议为TCP/IP协议中的基础协议,是许多重要应用层服务(如WEB 服务,FTP 服务等)的基础,所以TCP洪流攻击能对服务器的服务性能造成致命的影响。据研究统计,大多数DDoS攻击通过TCP洪流攻击实现。
UDP 洪流攻击
用户数据报协议(UDP)是一个无连接协议。当数据包经由UDP协议发送时,发送双方无需通过三次握手建立连接, 接收方必须接收处理该数据包。因此大量的发往受害主机 UDP 报文能使网络饱和。在一起UDP 洪流攻击中,UDP 报文发往受害系统的随机或指定端口。通常,UDP洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击端口没有运行服务,它将用 ICMP 报文回应一个“目标端口不可达”消息。通常,攻击中的DDoS工具会伪造攻击包的源IP地址。这有助于隐藏代理的身份,同时能确保来自受害主机的回应消息不会返回到代理。UDP洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
ICMP洪流攻击
Internet 控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。一个典型的运用就是 Ping 程序,其使用 ICMP_ECHO REQEST 报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的回应消息。ICMP 洪流攻击就是通过代理向受害主机发送大量ICMP_ECHO_ REQEST)报文。这些报文涌往目标并使其回应报文,两者合起来的流量将使受害主机网络带宽饱和。与UDP洪流攻击一样,ICMP洪流攻击通常也伪造源IP地址。