攻擊方式

分散式阻斷服務攻擊發起方式以圖 2-2 等為主，並分為以下四種與相關變 形：

16

圖 2-2 DDoS 攻擊發起示意圖

1. TCP SYN Flood

TCP SYN Flood主要以 Land、Teardrop、TCP SYN Flood 為代表，Land 主要以攻擊者藉由發送假冒的（SYN）封包到被攻擊端，此封包的來 源端和目的端的 IP 位址相同，而且來源端和目的端的通信埠也相同，

這會使得目標誤以為是它本身送給自己的封包，進而造成目標電腦當

17

機。TCP SYN Flood[3]文獻中說明 TCP SYN Flood 攻擊方式與過程，

首先 TCP SYN 攻擊基本方式請參考圖 2-3，剛開始用戶端(攻擊端)以 發送大量要求連線的 SYN requests 封包(如圖 2-2(A))到接收端(伺服器)，

而當該伺服器送回 SYN-ACK response 封包後、圖 2-2 (B)，攻擊端蓄 意不發送最後確認 Ack 封包(圖 2-2 (C))確認完成回應，導致三向交握

（3-way handshaking）無法完成，藉此消耗用來記錄新連線伺服主機 的緩衝區（Buffer）記憶空間攻擊者首要目的為在短時間發送大量 SYN Flooding 造成伺服器超載或當機因而無法提供服務。其相關變形有低 速率的 TCP Flood 攻擊（TCP Sender for Low-Rate Flooding）[2]與 TCP SYN Flood攻擊相比較，低速率的 TCP Flood 攻擊這些攻擊流量並不

而另一種較另類的防禦方式則是利用 QoS 服務質量（Quality of Service）

指的是滿足給特定網路服務業務協同的機率與在許多情況下用來制定 在網路中兩點間通過的機率，QoS 是一種控制機制，它提供了針對不

18

圖 2-3 三向交握（3-way handshaking）TCP SYN 攻擊

2. UDP Flood

UDP Flood攻擊又稱為 Fraggle 攻擊，攻擊者透過 UDP protocol 送出 假造來源端資訊的 UDP Broadcast 廣播封包至目標網路，通信埠（port）

通常為 7（echo，回應服務封包）。當目的網域中的眾多主機回應之後，

便會在目標網路產生放大資料流效應，便可造成網路的壅塞。即使某

19

些主機沒有回應，但產生的零碎 ICMP 封包仍然可以達到 DoS 攻擊手 段。UDP Flood 變形的 Pulsing DoS Attack 也是屬於一種較難追蹤的方 式，Pulsing DoS 攻擊（PDoS）是利用 UDP 在固定的時間傳送高量的 封包，受害者的網路在遭受攻擊時因傳入的數據波動造成網路壅塞，

20

4. Mix Flood

混合攻擊是一種以在時間比例內以亂數產生各種不同類型封包的攻擊 方法，通常在駭客無法得知攻擊目標所使用服務類型，假設攻擊目標 為網頁型服務器，則會選擇 TCP SYN Flood 攻擊而不是 UDP Flood，

因網頁型服務器所傳送封包以 TCP 為主，正常來說會阻擋 UDP 等不 相關類型封包，所以若選擇 UDP Flood 方式攻擊網頁型服務器，幾乎 毫無意義，另一方面在使用混合攻擊在目標網路管理端來說分析與追 查難度較高也較複雜。

21