单包攻击和DDoS(AI)
单包攻击与DDoS攻击概述
一、单包攻击(Single/One‑shot Packet Attack)
单包攻击,又称畸形报文攻击,是指攻击者仅需发送一个或极少量精心构造的恶意数据包,利用网络协议或系统漏洞,使目标系统在处理时直接崩溃、异常或被控制。此类攻击无需大量流量,也不需要建立完整会话。
核心特点
- 攻击成本极低:只需一个数据包即可生效,隐蔽性强,难以追踪溯源。
- 利用协议/实现漏洞:目标系统对异常报文处理存在缺陷。
- 效果直接:常导致拒绝服务(DoS)、系统崩溃、信息泄露等后果。
- 区别于DDoS:DDoS依赖海量流量压垮资源,单包攻击则只需触发漏洞即可。
常见类型(经典单包攻击)
1. 畸形报文攻击
- Ping of Death(死亡之Ping):构造超过65535字节的非法ICMP包,目标重组时发生内存溢出导致崩溃。
- Teardrop(泪滴攻击):发送重叠或非法IP分片,目标重组失败,内核崩溃。
- LAND攻击:TCP包的源IP与目标IP、源端口与目标端口相同,目标试图与自身建立连接,陷入死循环或死机。
- Tiny Fragment(微小分片):首片极小且不包含完整传输层信息,绕过防火墙过滤。
2. 特殊报文控制攻击
- Smurf攻击:向广播地址发送ICMP请求,源地址伪造成目标IP,全网主机回复目标,导致其被流量淹没。
- Fraggle攻击:类似Smurf,但利用UDP 7/19端口(ECHO/Chargen)放大流量。
- ICMP重定向/不可达:伪造ICMP报文,篡改目标路由表,切断连接。
3. 扫描窥探类(为后续攻击铺路)
- IP/端口扫描:使用少量包探测存活主机及开放端口。
- TCP异常标志位:发送无SYN或全置1等非法TCP包,探测系统类型或触发异常。
防御思路
- 防火墙/IDS/IPS:启用单包攻击防护,丢弃畸形、异常及非法标志位报文。
- 系统/内核补丁:及时修复协议栈漏洞(现代系统已免疫Ping of Death、Teardrop等)。
- 禁用不必要服务:关闭ICMP广播响应、Chargen、ECHO等易被放大利用的服务。
- 流量过滤:限制ICMP/UDP广播、分片重组超时、异常TCP标志位。
二、DDoS攻击(分布式拒绝服务攻击)
DDoS攻击的核心是通过多台傀儡机(僵尸网络)协同发起攻击,耗尽目标的带宽、计算或应用资源,使其无法响应正常请求。
主要类型与典型攻击方式
1. 带宽耗尽型(网络层攻击)
目标:占满目标网络带宽,阻断正常流量。
- UDP Flood:傀儡机向目标随机UDP端口发送海量数据包,占用带宽。
- ICMP Flood:海量Ping请求包冲击目标,消耗带宽和处理资源。
- 放大攻击(DNS放大、NTP放大等):利用公共服务器的响应放大流量,攻击成本低,破坏力强。
2. 资源耗尽型(传输层攻击)
目标:耗尽服务器连接资源或会话表。
- SYN Flood:发送大量伪造源IP的TCP SYN包,服务器维持大量半连接,耗尽连接资源。
- ACK Flood:发送海量伪造ACK包,干扰服务器会话处理逻辑。
- TCP连接耗尽:建立大量完整TCP连接,占用服务器连接数上限。
3. 应用层攻击(七层攻击)
目标:模拟正常用户请求,针对性消耗应用服务器计算资源,隐蔽性高,难以防御。
- HTTP Flood:发送大量HTTP GET/POST请求,攻击Web服务器或API接口。
- Slowloris:建立大量HTTP连接,缓慢发送请求数据,长时间占用连接资源。
- CC攻击(挑战黑洞攻击):通过代理服务器发起海量请求,伪装成正常访问。
- 数据库查询攻击:发送大量复杂SQL查询请求,耗尽数据库服务器资源。