7层ddos攻击_ddos攻击在第几层

DDOS攻击包括哪些

1、TCP洪水攻击（SYN Flood）

TCP洪水攻击是当前更流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷；

发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的之一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。

导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

2、反射性攻击（DrDoS）

反射型的 DDoS 攻击是一种新的变种，与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果，从而四两拨千斤。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。

3、CC攻击（HTTP Flood）

HTTP Flood又称CC攻击，是针对Web服务在第七层协议发起的攻击。通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式，但是无法轻易识别的HTTP洪水。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。

4、直接僵尸 *** 攻击

僵尸 *** 就是我们俗称的“肉鸡”，现在“肉鸡”不再局限于传统PC，越来越多的智能物联网设备进入市场，且安全性远低于PC，这让攻击者更容易获得大量“肉鸡”；

也更容易直接发起僵尸 *** 攻击。根据僵尸 *** 的不同类型，攻击者可以使用它来执行各种不同的攻击，不仅仅是网站，还包括游戏服务器和任何其他服务。

5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击

然后通过构造畸形请求发送给服务器，服务器因不能判断处理恶意请求而瘫痪，造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类，当然也有可能不是那么全面，DDOS攻击的种类复杂而且也不断的在衍变，目前的防御也是随着攻击方式再增强。

什么是DDoS攻击？

从 *** 攻击的各种 *** 和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和 *** 系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。 我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和 *** 部门的站点。我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。 DDoS攻击分为3层：攻击者、主控端、 *** 端，三者在攻击中扮演着不同的角色。 1、攻击者：攻击者所用的计算机是攻击主控台，可以是 *** 上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的 *** 主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到 *** 主机上。 3、 *** 端： *** 端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。 *** 端主机是攻击的执行者，真正向受害者主机发送攻击。 攻击者发起DDoS攻击的之一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的 *** 端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

是 *** 层ddos还是传输层ddos

按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

这个主要看是具体什么样的DDOS攻击了，也就是说一般是 *** 层和传输层都有，这个要具体情况具体抓包分析

ddos防护类型有哪些呢？最主要的，能防御到第几层？

什么是DDOS流量攻击？我们大多数人之一眼看到这个DDOS就觉得是英文的，有点难度，毕竟是国外的，其实简单通俗来讲，DDOS攻击是利用带宽的流量来攻击服务器以及网站。

举个例子，服务器目前带宽是100M，突然从外边来了200M的带宽流量进来，那么服务器根本承载不了这个200M的带宽流量，服务器的 *** 瞬间就会瘫痪，导致服务器无法连接，甚至导致服务器里的网站都无法打开，因为200M的带宽流量，已经占满了整个服务器的100M带宽。

再举一个更贴切于生活的例子：一家饭店，正常情况下最多能承载100个人吃饭，因为同行竞争，对面饭店老板雇佣了200个社会小混混去饭店吃饭，导致饭店满客，无法再接纳正常的客人来饭店吃饭了。这就是DDOS攻击，利用流量去占满服务器的带宽，导致没有多余的带宽来提供用户的网站访问。

DDOS流量攻击分很多种，有UDP-flood流量攻击，TCP-flood流量攻击，ICMP-flood流量攻击TCP/UPD/ICMP分片式流量攻击，SYN-flood流量攻击，ACK-flood流量攻击，zeroWindow攻击，SSL-flood攻击，SSLkeyrenego攻击，DNS反射性放大流量攻击，NTS反射，NTP反射,SNMP反射，SSDP反射，Chargen反射。

UDP-flood是属于UDP协议中的一种流量攻击，攻击特征是伪造大量的真实IP并发送小数量的数据包对要攻击的服务器进行发送，只要服务器开启UDP的端口就会受到流量攻击。如何防御这种流量攻击，对UDP的包数据大小进行设置，严格把控发送的数据包大小，超过一定值的数据包进行丢弃，再一个防御的 *** 是只有建立了TCP链接的IP，才能发送UDP包，否则直接屏蔽该IP。

ICMP是利用ICMP协议对服务器进行PING的攻击，放大icmp的长度，以及数据包的字节对服务器进行攻击。TCP-flood攻击是一种使用tcp三次握手协议的一种方式来进行的攻击，攻击特种是伪造大量的真实IP去连接要攻击的服务器，导致服务器无法承载更多的TCP连接而导致服务器瘫痪。

SYN-Flood是利用SYN协议，客户端协议上发送SYN数据，服务器接收到并响应SYN以及ACK反映，攻击者利用这个方式去模拟大量的客户连接发送数据包，导致服务器瘫痪。

ACK-Flood的攻击跟上面这个SYN的攻击差不多，都是同样采用发送数据包到服务器端去，攻击者利用ACK数据包进行攻击，只要服务器接受ACK的包，那么就会造成ACK连接过多导致服务器资源耗尽，服务器没有多余的资源来接收ACK的包，服务器就无法打开了。

SSL-Flood是利用客户端不断的与SSL通道握手，SSL的资源比普通的用户访问HTTP网站消耗的资源还要多，会多出几十倍，配置低的服务器根本无法承载SSL的多次请求与握手，导致服务器的CPU占用到百分之90，没有多余的CPU去处理用户的访问。SSL流量攻击如何防御：禁用Renegotiating的安全机制来防御大量的SSL流量攻击。

反射放大性流量攻击

反射性的攻击，不管是DNS反射还是NTP反射，都是使用的UDP协议攻击，UDP协议里访问用户发送请求的数据包到服务器，服务器再反馈给用户端，那么用户端发送到服务器里的请求数据包里，用户的IP可以进行伪造，可以伪造成服务器的IP，服务器IP发送数据包到服务器IP里，这样就造成了反射攻击。

DNS反射攻击也是一样的道理，利用DNS服务器的解析进行攻击，伪造要攻击的服务器IP，进行DNS查询，并查询到DNS服务器里，DNS服务器返回数据包到要攻击的服务器IP中去，一来一去形成了反射流量攻击。 源自网页链接

*** 攻击里面ddos攻击和cc攻击区别是什么？

CC攻击是DDoS攻击的其中一种，DDoS攻击方式还有：ICMP Flood、UDP Flood、NTP Flood...

CC攻击是目前应用层攻击的主要手段之一，借助 *** 服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求， *** 拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择 *** 服务器是因为 *** 可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTP Flood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。相关链接