什么是反射型ddos攻擊?拒絕服務(wù)攻擊(DoS, Denial of Service)是指利用各種服務(wù)請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。常見電腦黑客攻擊類型與預(yù)防方法是什么?一起和佰佰安全網(wǎng)看看吧。

反射攻擊

一般而言，我們會根據(jù)針對的協(xié)議類型和攻擊方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。

每一種攻擊類型都有其特點，而反射型的 DDoS 攻擊是一種新的變種。攻擊者并不直接攻擊目標服務(wù) IP，而是利用互聯(lián)網(wǎng)的某些特殊服務(wù)開放的服務(wù)器，通過偽造被攻擊者的 IP 地址、向有開放服務(wù)的服務(wù)器發(fā)送構(gòu)造的請求報文，該服務(wù)器會將數(shù)倍于請求報文的回復(fù)數(shù)據(jù)發(fā)送到被攻擊 IP，從而對后者間接形成 DDoS 攻擊。

在反射型攻擊中，攻擊者利用了網(wǎng)絡(luò)協(xié)議的缺陷或者漏洞進行 IP 欺騙，主要是因為很多協(xié)議(例如 ICMP，UDP 等)對源 IP 不進行認證。同時，要達到更好的攻擊效果，黑客一般會選擇具有放大效果的協(xié)議服務(wù)進行攻擊。總結(jié)一下就是利用 IP 欺騙進行反射和放大，從而達到四兩撥千斤的效果。

攻擊的過程大致是這樣的：Attacker 向一個具有大量主機和因特網(wǎng)連接的網(wǎng)絡(luò)廣播地址發(fā)送一個欺騙性 Ping 包，而欺騙性 Ping 分組的源地址就是 Victim(9.9.9.9)希望攻擊的目標。路由器接收到這個發(fā)送給 IP 廣播地址(1.1.1.255)的分組后，由于 ICMP 并不會進行握手而驗證源 IP 地址，路由器認為這就是廣播分組，進而會對本地網(wǎng)段中的所有主機(1.1.1.2,1.1.1.3,1.1.1.4,1.1.1.5,1.1.1.6) 進行廣播。網(wǎng)段中的所有主機都會向欺騙性分組的 IP 地址發(fā)送 echo 響應(yīng)信息。如果這是一個很大的以太網(wǎng)段，可能會有上百臺主機對收到的 echo 請求進行回復(fù)，這些目標系統(tǒng)很快就會被大量的 echo 信息吞沒，這樣就能輕而易舉地阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而達到拒絕為正常系統(tǒng)服務(wù)的結(jié)果。

以上就是對攻擊的詳細介紹，學(xué)習(xí)更多的網(wǎng)絡(luò)安全小知識請關(guān)注佰佰安全網(wǎng)。

責任編輯:慕丹萍