ddos有几种_DDoS攻击是哪个层的

DDOS攻击包括哪些

1、TCP洪水攻击（SYN Flood）

TCP洪水攻击是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷；

发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。

导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

2、反射性攻击（DrDoS）

反射型的 DDoS 攻击是一种新的变种，与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果，从而四两拨千斤。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。

3、CC攻击（HTTP Flood）

HTTP Flood又称CC攻击，是针对Web服务在第七层协议发起的攻击。通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式，但是无法轻易识别的HTTP洪水。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。

4、直接僵尸网络攻击

僵尸网络就是我们俗称的“肉鸡”，现在“肉鸡”不再局限于传统PC，越来越多的智能物联网设备进入市场，且安全性远低于PC，这让攻击者更容易获得大量“肉鸡”；

也更容易直接发起僵尸网络攻击。根据僵尸网络的不同类型，攻击者可以使用它来执行各种不同的攻击，不仅仅是网站，还包括游戏服务器和任何其他服务。

5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击

然后通过构造畸形请求发送给服务器，服务器因不能判断处理恶意请求而瘫痪，造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类，当然也有可能不是那么全面，DDOS攻击的种类复杂而且也不断的在衍变，目前的防御也是随着攻击方式再增强。

什么是 DDoS 攻击?

DDoS 攻击全称Distributed Denial of Service，中文意思为“分布式拒绝服务”，就是利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。

通俗点讲就是利用网络节点资源如：IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求，从而导致服务器拥塞而无法对外提供正常服务，只能宣布game over，详细描述如下图所示：

DDoS的攻击方式

一种服务需要面向大众就需要提供用户访问接口，这些接口恰恰就给了黑客有可乘之机，如：可以利用TCP/IP协议握手缺陷消耗服务端的链接资源，可以利用UDP协议无状态的机制伪造大量的UDP数据包阻塞通信信道……

可以说，互联网的世界自诞生之日起就不缺乏被DDoS利用的攻击点，从TCP/IP协议机制到CC、DNS、NTP反射类攻击，更有甚者利用各种应用漏洞发起更高级更精确的攻击。

网络攻击里面ddos攻击和cc攻击区别是什么？

CC攻击是DDoS攻击的其中一种，DDoS攻击方式还有：ICMP Flood、UDP Flood、NTP Flood...

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTP Flood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。相关链接

ACK 泛洪 DDoS 攻击

什么是ACK 泛洪 DDoS 攻击？

ACK 泛洪攻击是指攻击者尝试使用TCP ACK 数据包使服务器过载。与其他DDoS 攻击一样，ACK 洪水的目标是通过使用垃圾数据减慢或崩溃目标来拒绝向其他用户提供服务。目标服务器必须处理收到的每个 ACK 数据包，这会占用大量计算能力，无法为合法用户提供服务。

想象一个恶作剧的来电者用假消息填满某人的语音信箱，这样来自真实来电者的语音邮件就无法通过。现在想象这些假消息中的每一条都说：“嗨，我打电话是说我收到了你的消息。” 这有点像 ACK 泛洪 DDoS 攻击中发生的情况。

什么是数据包？

通过Internet 发送的所有数据都被分解为称为数据包的更小段。想想当有人想在 Twitter 上提出一个深入的观点或讲述一个长篇故事时，他们必须将他们的文本分成 280 个字符的部分，然后在一系列推文中发布，而不是一次发布。对于那些不使用 Twitter 的人，想想没有专门的短信应用程序的手机是如何将长 SMS 文本消息分解成更小的部分的。

传输控制协议(TCP) 是 Internet 通信的重要组成部分。使用 TCP 协议发送的数据包在数据包标头中附加了信息。TCP 协议使用数据包头来告诉接收者有多少数据包以及它们应该以什么顺序到达。标头还可以指示数据包的长度、数据包的类型等。

这有点像命名文件夹以便人们知道其中的内容。回到Twitter 的例子，发布一长串推文的人通常会指出该系列推文的总数和每条推文的编号，以帮助读者跟进。

什么是ACK包？

ACK 是“确认”的缩写。ACK 数据包是任何确认接收到一条消息或一系列数据包的 TCP 数据包。ACK 数据包的技术定义是在报头中设置了“ACK”标志的 TCP 数据包。

ACK 数据包是 TCP 握手的一部分，这是一系列三个步骤，可在 Internet 上的任何两个连接的设备之间开始对话（就像人们在开始对话之前可能在现实生活中通过握手互相问候一样）。TCP握手的三个步骤是：

[if !supportLists]00001. [endif]视线

[if !supportLists]00002. [endif]同步确认

[if !supportLists]00003. [endif]唉

打开连接的设备——比如用户的笔记本电脑——通过发送一个 SYN（“同步”的缩写）数据包来启动三向握手。连接另一端的设备——假设它是一个托管在线购物网站的服务器——回复一个 SYN ACK 数据包。最后，用户的笔记本电脑发送一个ACK包，三向握手完成。此过程可确保两个设备都在线并准备好接收额外的数据包，在此示例中，这些数据包将允许用户加载网站。

然而，这不是唯一一次使用ACK 数据包。TCP 协议要求连接的设备确认它们已按顺序接收到所有数据包。假设用户访问托管图像的网页。图像被分解成数据包并发送到用户的浏览器。一旦整个图像到达，用户的设备就会向主机服务器发送一个 ACK 数据包，以确认没有一个像素丢失。如果没有这个 ACK 数据包，主机服务器必须再次发送图像。

由于ACK 数据包是在报头中设置了 ACK 标志的任何 TCP 数据包，因此 ACK 可以是膝上型电脑发送到服务器的不同消息的一部分。如果用户填写表格并向服务器提交数据，膝上型计算机可以将这些数据包之一作为图像的 ACK 数据包。它不需要是一个单独的数据包。

ACK 泛洪攻击是如何工作的？

ACK 泛洪攻击的目标是需要处理收到的每个数据包的设备。防火墙和服务器最有可能成为ACK 泛滥的目标。负载平衡器、路由器和交换机不易受到这些攻击。

合法和非法ACK 数据包看起来基本相同，如果不使用内容交付网络(CDN)过滤掉不必要的ACK 数据包，则很难阻止 ACK 泛洪。虽然它们看起来很相似，但在 ACK DDoS 攻击中使用的数据包不包含数据包的主要部分，也称为有效载荷。为了看起来合法，它们只需要在 TCP 标头中包含 ACK 标志。

ACK 泛洪是第 4 层（传输层）DDoS 攻击。了解第4 层和 OSI 模型。

SYN ACK 泛洪攻击如何工作？

SYN ACK Flood DDoS 攻击与 ACK 攻击略有不同，但基本思想仍然相同：用过多的数据包压倒目标。

记住TCP 三向握手的工作原理：握手的第二步是 SYN ACK 数据包。通常，服务器发送此 SYN ACK 数据包以响应来自客户端设备的 SYN 数据包。在 SYN ACK DDoS 攻击中，攻击者使用 SYN ACK 数据包淹没目标。这些数据包根本不是三向握手的一部分；他们的唯一目的就是破坏目标的正常运作。

攻击者也有可能在SYN 泛洪 DDoS 攻击中使用SYN 数据包。