我剛查了一下我今天只發了四篇廢文
最後一篇就拿來回你了
不過這篇應該也不會有多少人看就是了
講到DDoS的分類大概可以分為三種
1. 頻寬耗盡
簡單來說,就是你有100M的頻寬,我找1G的流量來連線,讓所有流量都塞在你家門口。
這個攻擊跟高速公路塞車有點像,塞到大家都下不了交流道自然到不了你家。這個是早
期很常用的手法,但是現在大家頻寬都大了,這個就要很花錢去買殭屍網路去打,不大
划算。
2. 狀態表耗盡
這個就是針對資安設備的session table去攻擊,比如說像是防火牆,他都有一個
concurrent session,比如說100萬筆好了。我的攻擊就拿200萬個session去塞他,設
備無法處理就當機,自然要被攻擊的目標就無法連線了。
3. 資源耗盡
這個現在比較常見,利用看起來正常的封包,比如說HTTP連線,建立連線之後就不斷線
,慢慢增加連線的數量,看你的伺服器撐不撐得下去。今天比如一台用IIS架的web
server能力可以允許5000個session同時瀏覽網頁,我就慢慢塞到超過5000個HTTP連線
,後面的人也是無法連線到這台伺服器。
1.2 的情形在早期都會被算在Flooding裡面,差別在於1會丟大封包,而2是用小封包為主
。所以在你原文中那個stero說的情形我要道歉,因為我把它混在一起講了,主要是我
最近已經很少看到1這種攻擊,而2.的情形相對來說多很多,所以我直覺就先說小封包
了。
3 的這種情況很類似你說的情況,也很類似像台鐵搶票的情形,這個在防火牆或是一般IPS
上面很難偵測,因為它是一個模擬正常的連線行為,但攻擊者會送一個小的封包以維持
這個連線而非正常的GET封包,所以可以從這邊去檢查是否為攻擊行為。你所說的狂按F5
就是正常去送GET,所以不會被判斷為攻擊。
以上是簡單的DDoS小教室,歡迎討論
※ 引述《asdfghjklasd (清空)》之銘言:
: 聽說你以前也搞 IT 的?
: 請問一下,瀏覽網頁犯了什麼罪?
: 還是網站系統自己做的不好,受不起全世界的電腦來看。
: 自己掛掉了,就算是有人攻擊?
: ※ 引述《HAIWEI (維)》之銘言:
: : 警察標準流程如下
: : 1.請報警的人提供IP資料
: : 這個很好找 所有設備基本上都會留下來來源IP可以查
: : 當然有些情況下警察會過來幫你查
: : 2.檢查來源IP是否為台灣IP
: : A.台灣IP 調查是誰的IP 中華的就發文給中華要申請人資料去抓人
: : B.國外IP 結案 反正也查不出來 國外人家根本不鳥你
: : 之前某遠X電收我記得就有抓到一個學生 因為他用學校IP去攻擊...