ICMP Flood: ICMP(Internet Control Message Protocol)主要是用來偵測與回報網路的狀態,攻擊者假造來源IP並發送大量ICMP封包給目的端,目的端回應等量的ICMP封包給假造的來源IP網路,將造成目的端與被假造來源IP的網路流量大增。
而最主要的攻擊方式是利用Ping of Death,Ping指令是利用發出ICMP type 8的Echo Request給目的端,當目的端收到這個封包之後再回覆Type 0的Echo Reply。Ping of Death則是利用ping程式,送出超過IP(65536 Bytes)限制的封包到某台主機,如果目的端主機系統並未對其所接收的資料做好長度限制,將使得在處理資料時把過多的資料覆蓋到系統其它部份的資料,因而導致緩衝區溢出(Buffer Overload),那麼就有可能造成主機當機或是重新開機。目前作業系統大多已修補此問題,遇到這類封包即丟棄不處理。
TCP SYN Flood:
TCP SYN Flood發生於TCP/IP確保資料傳送時,一個正常的TCP連線建立之前,目的端與請求端必須完成『三向式交握(Three-Way Handshake)』,即目的端接收到請求端所送出的SYN封包,並回送SYN ACK給請求端。在連線建立之前,目的端必須收到自請求端IP位址發出的ACK。
基於三向式交握的機制缺陷,攻擊者可針對某部主機送出連續的連線請求,也就是內含由亂數產生,不存在或不正確的請求端IP位址的SYN 封包。因此,目的端對該位址送出SYN ACK之後,根本就不可能收到請求端的ACK,於是大量無法建立連線的封包便填滿了目的端的等待佇列。雖然目的端對entry的存在時間有限制,不過破壞者可以利用程式產生亂數再快速地送出要求,而造成相同的結果。最後主機內其他的連線服務則被拒絕。這種接連不斷的SYN封包稱為TCP SYN Flood。
而TCP SYN Flood又可分成Non-Spoofed SYN Flood與Spoofed SYN Flood。Non-Spoofed SYN Flood意指惡意地送出許多TCP SYN的封包到被攻擊端,後續卻沒有確認的封包傳出,被攻擊端會因為耗用太多資源在等待連結的資訊上,因而導致無法正常提供服務。Spoofed SYN Flood為因為使用假的來源IP,被攻擊端會送出ACK封包到假的電腦,而影響正常網路。
