分散式阻断服务攻击（DDoS）：反射式攻击与放大式攻击

服务攻击分散阻断（DDoS）

攻击者从远端控制多个傀儡机，同时攻击受害者主机。

控制说明：在正常流量中加密或隐藏。

1. DDoS攻击范例

2. Trinoo

3. TFN

反射攻击和放大攻击

与DDoS不同，中间系统是未被感染的。反射/放大式攻击利用网络系统正常的功能。

攻击程序：

1. 攻击者发出伪造来源IP在服务器上执行地址封包。

2. 服务器回复伪造的封包IP地址(受害主机)。

3. 大量伪造来源可同时发送IP多个服务器密封地址。

4. 大量的回复封堵堵塞了受害者主机的网络，或者让受害者主机厌倦了处理大量的回复封堵。

反射攻击小到大，小封包大封包小request换大的response。

放大攻击少换多，少封包多封包，一个request换多个response。

反射式攻击（Reflectionattacks）

1. 反射器（Reflector）：反射攻击封包的中间设备。

2. 攻击者确保攻击流量与正常流量相似，以免被检测到。

3. 回复封包大小>原封包大小。

4. 中间系统通常是高效的服务器/路由器。

反射攻击案例1（TCP/SYN）

利用建立TCP连接三方握手程序。

SYN反射攻击不能放大封包，但此时服务器(中间设备)也是受害者。

攻击者发送出一系列的连线建立SYN封包给服务器，但来源IP地址伪造成受害主机IP地址。

服务器回复一系列SYN/ACK封包给受害主机。

大量服务器可用于加倍攻击力。

反射攻击案例二（DNS）

DNS服务器被用作反射器。

小查询封包更换大回复封包。

发送一系列攻击者DNS查询封包给DNS但是来源IP地址伪造成受害主机IP地址。

DNS服务器回复一系列DNS回复大封包给受害者主机。

可利用多个DNS服务器加倍攻击力。

放大式攻击（Amplificationattacks）

1. 放大器（Amplifier）：放大攻击包的中间设备。

2. 攻击者确保攻击流量与正常流量相似，以免被检测到。

3. 回复包数>原包数。

4. 中间系统通常是整个子网络的主机(通常有多个)。

利用中间网络（intermediatenetwork大量主机。

利用ICMPechorequest封包的pingflooding，例如：SmurfDoSprogram。

利用UDPservice，例如：Fraggleprogram。

TCP服务不适合放大攻击，因为只有一对一的回复。放大攻击的防御方法是不允许国外广播包进入网络。

反射流量分析（BackscatterAnalysis）

TheUCSDNetworkTelescope(网络望远镜)是一种被动的异常流量观测系统。又称网络黑洞（blackhole）。

它建立在全球连接中，但很少使用ClassA网络（/8network），约占用所有Ipv由于ISP这个网段很少供应IP地址给用户，因此该网段几乎没有正常流量，被用作收集或观察异常流量的黑洞。

互联网背景辐射（互联网BackgroundRadiation，IBR）

首先过滤掉流入黑洞的合法流量，其余流量代表不请自来的异常流量，这些异常流量可视为互联网上的背景辐射。

IBR流量可能来自各种事件，如：

1. 假造来源的随机数IP地址的DoS反射封包攻击。

2. 蠕虫或病毒自动产生IP地址封包。

3. 攻击者或恶意程序寻找漏洞主机的封包。

4. 输入疏忽IP地址。

TheUCSDNetworkTelescope可用来观测DDoS攻击假来源IP散布地址（spreadofrandom-source）。因为黑洞约占1/256IPv4网站，所以你可以收集大约1/256的假网站。

观测这些异常封包，可以知道关于受害者主机以及相应攻击的信息：

攻击者攻击力（Volumeoftheattack）

受害者的频率很宽（Bandwidthofthevictim）

受害主机的位置（Locationofthevictim）

攻击者的服务类型（Typesofservices）

但无法观察真实使用IP产生地址和非随机数IP地址攻击。