我刚查了一下我今天只发了四篇废文
最后一篇就拿来回你了
不过这篇应该也不会有多少人看就是了
讲到DDoS的分类大概可以分为三种
1. 频宽耗尽
简单来说,就是你有100M的频宽,我找1G的流量来连线,让所有流量都塞在你家门口。
这个攻击跟高速公路塞车有点像,塞到大家都下不了交流道自然到不了你家。这个是早
期很常用的手法,但是现在大家频宽都大了,这个就要很花钱去买僵尸网络去打,不大
划算。
2. 状态表耗尽
这个就是针对资安设备的session table去攻击,比如说像是防火墙,他都有一个
concurrent session,比如说100万笔好了。我的攻击就拿200万个session去塞他,设
备无法处理就当机,自然要被攻击的目标就无法连线了。
3. 资源耗尽
这个现在比较常见,利用看起来正常的封包,比如说HTTP连线,建立连线之后就不断线
,慢慢增加连线的数量,看你的服务器撑不撑得下去。今天比如一台用IIS架的web
server能力可以允许5000个session同时浏览网页,我就慢慢塞到超过5000个HTTP连线
,后面的人也是无法连线到这台服务器。
1.2 的情形在早期都会被算在Flooding里面,差别在于1会丢大封包,而2是用小封包为主
。所以在你原文中那个stero说的情形我要道歉,因为我把它混在一起讲了,主要是我
最近已经很少看到1这种攻击,而2.的情形相对来说多很多,所以我直觉就先说小封包
了。
3 的这种情况很类似你说的情况,也很类似像台铁抢票的情形,这个在防火墙或是一般IPS
上面很难侦测,因为它是一个模拟正常的连线行为,但攻击者会送一个小的封包以维持
这个连线而非正常的GET封包,所以可以从这边去检查是否为攻击行为。你所说的狂按F5
就是正常去送GET,所以不会被判断为攻击。
以上是简单的DDoS小教室,欢迎讨论
※ 引述《asdfghjklasd (清空)》之铭言:
: 听说你以前也搞 IT 的?
: 请问一下,浏览网页犯了什么罪?
: 还是网站系统自己做的不好,受不起全世界的电脑来看。
: 自己挂掉了,就算是有人攻击?
: ※ 引述《HAIWEI (维)》之铭言:
: : 警察标准流程如下
: : 1.请报警的人提供IP资料
: : 这个很好找 所有设备基本上都会留下来来源IP可以查
: : 当然有些情况下警察会过来帮你查
: : 2.检查来源IP是否为台湾IP
: : A.台湾IP 调查是谁的IP 中华的就发文给中华要申请人资料去抓人
: : B.国外IP 结案 反正也查不出来 国外人家根本不鸟你
: : 之前某远X电收我记得就有抓到一个学生 因为他用学校IP去攻击...