DDoS攻擊手法

基於上述的各種攻擊類型，世界各地的駭客們無不每日絞盡腦汁的 想出新的攻擊手法，以在這廣大的網路世界裡展現他們高超的電腦技能 及深厚的專業知識，而達到攻敵不備，讓目標主機防不勝防。目前較常 見之 DoS/DDoS 攻擊手法則有以下幾種 :

1. TCP SYN 洪水攻擊 (TCP SYN Flood attack)：

主要利用TCP/IP協定本身的漏洞。由於TCP 建立連線需要經過三向 交握(three-way handshake)，攻擊者對被害者發出連續的連線要求

(SYN 封包) 並將這些SYN封包填入不存在或不正確的來源位址，當 被害者收到這些封包時，會回傳SYN ACK 封包並等待原先發送端的 ACK封包，但是由於來源是不存在或不正確的，所以被害者不可能收 到要求端的ACK，造成被害者的等候佇列被所需傳回的ACK回應所 填滿而無法再接受建立連線的要求，最後造成系統崩潰。

2. UDP 洪水型攻擊 (UDP Flood attack)：

攻擊者送出大量會執行惡意代碼的UDP 封包(可能偽造來源位址以 避免被追蹤)給被害者，使被害者的網路擁塞甚至中斷。

3. ICMP 洪水型攻擊 (ICMP echo reply Flood attack)：

攻擊者產生大量的ICMP echo request 封包(可能偽造來源位址以避免 被追蹤)給被害者，被害者必需回應等量的ICMP echo reply 封包，使 得被害者的電腦 CPU 負載增加或網路擁塞甚至中斷，不過，通常一 般的主機為了防止駭客的掃描，會拒絕 ICMP 封包的傳回。

4. Smurf 攻擊 (Smurf attack)：

Smurf 利用了ICMP (Internet控制訊息協定)。ICMP在Internet上用於錯 誤處理和傳遞控制訊息。它的功能之一是與主機聯繫，透過發送一個 回應請求（echo request）訊息包看看主機是否“活著”。最普通的 ping 程式就使用了這個功能。攻擊者將會連續的送出偽造來源的 ICMP echo request封包送到網路上的廣撥位址( broadcast addresses)，並且將

來源位址設成被害者的位址，這樣的話將會造成所有收到此封包的主 機回傳的大量ICMP echo reply 封包給被害者，使被害者的網路擁塞 甚至中斷。

5. 混合型攻擊 (Mix attack)：

攻擊者依序使用 UDP Flood 攻擊、ICMP Flood 攻擊和 TCP Syn Flood攻擊法，以避免Router 偵測單一型式的攻擊，給予過濾。

6. Targa3 攻擊 (Targa3 attack)：

由於各個作業系統廠商在實作TCP/IP 時，有些灰色區域RFC 並沒有 定義的很清楚，如例外處理程序OOB(Out-of-Band)的處理，IP stack 的 作法，IP 封包切割與重組等等。攻擊者送出這些介於臨界點的封包，

可能會導致作業系統當掉，網路停止運作或其它不可預期的行為發 生。而Targa3 是收集19 種這類型程式的程式。

7. Ping of Death :

根據 TCP/IP 規範，一個封包最大的長度為 65535 位元組，攻擊者 產生超過 IP標準的最大長度 65535 位元組的IP封包並發送給受害 端。當這個"浮腫的"封包到達的時候，它會使得一個脆弱的TCP/IP 協 定軟體和作業系統的伺服器癱瘓。

8. Teardrop :

它主要是利用了系統重組 IP 封包過程中的漏洞工作。當資料經由網 路傳送，IP封包經常會被切割成許多小片段。每個小片段和原來封包

的結構大致都相同，除了一些記載位移的資訊。而 Teardrop 則產生 一些IP片段，這些片段包含重疊的位移值。如第一個 IP片段偏移量 為0，長度為N，第二個 IP片段的偏移量小於N。當這些片段到達目 的地而被重組時，為了重組這些封包，TCP/IP 堆疊會分配超乎尋常 的巨大資源進而造成系統資源的缺乏及系統當機。

9. Land-based :

"LAND"攻擊則會送出一連串的SYN封包給受害端主機，並且利用"IP Spoofing"的技術將封包的來源與目的位址都設置成受害端主機，讓受 害端系統以為這些封包都是他自己發送的。當系統在處理這些封包 時，可能造成受害端試圖與自己建立連接，由於它並不能回應給自 己，而造成系統當機。

10. CPU Hog :

一種透過耗盡系統資源使NT系統的主機癱瘓的阻斷服務攻擊，利用 Windows NT排定當前運作程式的模式所進行的攻擊。

11. Win Nuke :

是以阻斷目的主機服務為目標的網路層次的攻擊。攻擊者向受害主機 的端口53、113、137、138、139，即 Netbios 發送大量並且URG 設 為”1”的緊急狀態封包。因為這些資料並不是目的主機所需要的，所 以會導致目的主機的當機。

12. RPC Locator :

攻擊者透過 telnet 連接到受害者機器的端口 135 上，發送資料，導 致 CPU 資源完全耗盡。依照程式設置和是否有其他程式運作，這種 攻擊可以使受害主機運作緩慢或者停止回應。無論哪種情況，要使 主機恢復正常速度必須重新啟動。