IGMP,即因特网组管理协议,使用IP数据报传递其管理因特网协议多播组成员的一种通信报文。同一局域网的主机和路由器可通过IGMP创建多播组,进行通信。
2.2.1原理分析
PING是在应用层运行,但能越过传输层直接利用网络层的ICMP协议。PING是开发人员为了检测网络是否畅通研发的一种简单的方法。但是正式因为如此,黑客就利用其入侵主机即ICMP入侵。通过大量发送PING数据包致使目标主机的CPU长期处于高负荷状态而崩溃。具体攻击有针对带宽的持续地发送ICMPEchoReply数据包,针对重定位的伪装目标主机发送Echo请求包,所有接收包者返回大量的Echo应答包的报路由欺骗技术。因为WIN98系统中的NMPI协议中存在这样的漏洞,基于IGMP的DDOS攻击就是利用了这点。通过发送IGMP请求报文直接是目标主机崩溃。
2.2.2防御控制技术
因为基于ICMP攻击属于早期的DDOS攻击,经过长期的研究开发,基本上得到了解决。基本原理是直接在所在主机中设置过滤ICMP报文的防御策略,即当外部IP地址向本主机发送ICMP报文时,使用已定义好的IP安全策略阻止ICMP报文,从而达到防御基于ICMP的DDOS攻击。
2.3传输层DDOS攻击
传输层的DDOS攻击基本是基于TCP/IP协议的TCP与UDP两个主要传输层协议的设计漏洞而进行攻击。本文从传输层DDOS攻击消耗目标主机的网络带宽资源与其系统资源两方面展开具体分析。
2.3.1针对网络带宽资源的攻击
这种类型的攻击原理基本是利用UDP协议的不需要建立连接而进行攻击的。
1)直接攻击
这种攻击原理类似于网络层的ICMP攻击。利用UDP报文发起攻击,具体分为UDP大包攻击和UDP小包攻击。大包攻击是攻击者利用在以太网中UDP数据包的MTU(即最大传送单元)只能是1500B,超过后需要对其分组的原理,使攻击目标在接收UDP数据包时分片重组导致网络阻塞而崩溃;小包攻击则是发送大量UDP数据包是连接攻击目标的路由器、交换机等网络设备超负荷而崩溃。
2)反射和放大攻击
反射攻击,即DRDOS(分布式反射拒绝服务)攻击,其原理是在广域网中基于广播地址与回应请求的。DRDOS攻击就是攻击者发送的UDP数据包的源IP地址伪造成攻击主机的IP地址,接收到这个数据包的主机都向攻击主机反馈信息,从而耗尽攻击目标的网络带宽,使其无法正常工作。这种攻击通过简单的发送数据包就能放大攻击,易隐藏IP地址。主要攻击形式有ACK反射攻击、DNS放大攻击等等。