拒絕服務(wù)攻擊作為流行的攻擊方式被各企業(yè)所忌憚?，F(xiàn)在目前網(wǎng)上DDOS攻擊的主要手段有很多種。本篇文章就將通過(guò)集中主流DDOS攻擊方式的簡(jiǎn)述從而進(jìn)行DDOS防火墻面對(duì)這些攻擊形式時(shí)的表現(xiàn)對(duì)比。

SYN-FLOOD：

老牌DDOS攻擊方式，利用TCP協(xié)議三次握手的弱點(diǎn)發(fā)起的攻擊，特點(diǎn)是攻擊源地址是虛假地址，不容易跟蹤到攻擊源。攻擊者在單位時(shí)間內(nèi)構(gòu)造的TCP-SYN數(shù)據(jù)包數(shù)量越多，其攻擊效果就越顯著。

單一原址SYN攻擊：

針對(duì)目前群集防御利用三層交換設(shè)備（如Cisco三層交換機(jī)）進(jìn)行端口聚合和負(fù)載均衡時(shí)均衡算法的漏洞，使用真實(shí)的或者虛擬成單一源地址和相同的源端口進(jìn)行攻擊。此種攻擊方式在大部分三層交換設(shè)備上會(huì)通過(guò)單一線路進(jìn)行交換，從而削弱群集防御的效果。

真實(shí)原址SYN攻擊：

針對(duì)某些軟件防火墻和硬件防火墻的防御原理，專門針對(duì)防火墻的反向?qū)ぶ贩烙绞桨l(fā)起的攻擊方式。最近兩年網(wǎng)絡(luò)傀儡機(jī)價(jià)值鏈的建立，使得真實(shí)原址SYN攻擊成為現(xiàn)在互聯(lián)網(wǎng)上較多的一種攻擊方式，攻擊者通過(guò)控制的眾多的傀儡機(jī)進(jìn)行攻擊數(shù)據(jù)包的發(fā)送。

SYN大包攻擊：

和一般SYN攻擊不同，SYN大包攻擊是通過(guò)構(gòu)造超大的TCP數(shù)據(jù)包，造成被攻擊目標(biāo)網(wǎng)絡(luò)堵塞的方式達(dá)到攻擊效果，和普通SYN不同，發(fā)起同樣流量的攻擊，發(fā)送超大數(shù)據(jù)包占用發(fā)送端的系統(tǒng)資源更少。

UDP大包攻擊：

相對(duì)于TCP協(xié)議數(shù)據(jù)包而言，攻擊端僅需要更少的系統(tǒng)資源就能構(gòu)建出UDP數(shù)據(jù)包，這也為攻擊者大肆發(fā)送UDP攻擊包提供了條件，UDP攻擊一般是通過(guò)超大數(shù)據(jù)包堵塞網(wǎng)絡(luò)帶寬來(lái)實(shí)現(xiàn)。

代理CC攻擊：

最初由中華攻客的攻擊軟件引發(fā)的互聯(lián)網(wǎng)大量代理CC攻擊。通過(guò)收集互聯(lián)網(wǎng)上出現(xiàn)的大量免費(fèi)開(kāi)放代理服務(wù)器，通過(guò)對(duì)這些服務(wù)器提交大量針對(duì)攻擊目的地址的訪問(wèn)請(qǐng)求，由代理服務(wù)器中轉(zhuǎn)進(jìn)行的攻擊。代理CC攻擊因其發(fā)起端僅需要一條普通寬帶線路，其攻擊地址又是真實(shí)地址（代理服務(wù)器地址），曾一度使得眾多網(wǎng)絡(luò)運(yùn)營(yíng)者深受其害。

SYN-ACK、PSH-ACK等：

針對(duì)TCP連接的各種弱點(diǎn)發(fā)起的攻擊方式。

傳奇DB攻擊：

專門針對(duì)傳奇數(shù)據(jù)庫(kù)的攻擊方式，也是由中華攻客最先寫的攻擊程序，其攻擊方式是模擬傳奇客戶段賬號(hào)創(chuàng)建動(dòng)作，使得傳奇服務(wù)器癱瘓。

傳奇刷小人攻擊：

通過(guò)不停的上下線和模擬登陸，使得傳奇服務(wù)器癱瘓。

針對(duì)以上這些攻擊方式，各類防火墻表現(xiàn)大致相同：

【編輯推薦】

1. DDoS拒絕服務(wù)攻擊和安全防范技術(shù)
2. ROS防止外網(wǎng)的DDOS的好辦法
3. 淺析企業(yè)DDOS防火墻成本比較
4. DDoS deflate:自動(dòng)屏蔽DDOS攻擊者IP
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻