ddos攻击一般发生在什么层_ddos一般攻击哪个端口

DDOS *** 攻击的类型有哪些

主要几个攻击类型：

TCP全连接攻击

和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS软件中非常常见，有UDP碎片还有SYN洪水，甚至还有TCP洪水攻击，这些攻击都是针对服务器的常见流量攻击

59.50.179.84:2900 220.181.6.18:80 ESTABLISHED

59.50.179.84:2901 220.181.6.18:80 ESTABLISHED

59.50.179.84:2902 220.181.6.18:80 ESTABLISHED

59.50.179.84:2903 220.181.6.18:80 ESTABLISHED

通过这里可以看出59.50.179.84这个IP对220.181.6.18这台服务器的80端口发动TCP 全连接攻击，通过大量完整的TCP链接就有可能让服务器的80端口无法访问。

SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包攻击

发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

用UDP协议的攻击

很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的 *** 软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。

WEB Server多连接攻击

通过控制大量肉鸡同时连接访问网站，造成网站瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封。

WEB Server变种攻击

通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案。

WEB Server变种攻击

通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案。

针对游戏服务器的攻击

因为游戏服务器非常多，这里介绍最早也是影响更大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

ddos能攻击21端口吗?

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“�21”，21就表示端口号。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为 *** 恶意攻击的大门呢?，我们应该如何面对形形 *** 的端口呢?下面就将介绍这方面的内容,以供大家参考。�

21端口:21端口主要用于FTP(File Transfer Protocol，文件传输协议)服务。

端口说明:21端口主要用于FTP(File Transfer Protocol，文件传输协议)服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的 *** 。另外，还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议:因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。 23端口:23端口主要用于Telnet(远程登录)服务，是Internet上普遍采用的登录和仿真程序。

端口说明:23端口主要用于Telnet(远程登录)服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议:利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以，建议关闭23端口。

25端口:25端口为 *** TP(Simple Mail Transfer Protocol，简单邮件传输协议)服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。

端口说明:25端口为 *** TP(Simple Mail Transfer Protocol，简单邮件传输协议)服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入 *** TP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞:

1. 利用25端口，黑客可以寻找 *** TP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议:如果不是要架设 *** TP邮件服务器，可以将该端口关闭。

53端口:53端口为DNS(Domain Name Server，域名服务器)服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

端口说明:53端口为DNS(Domain Name Server，域名服务器)服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞:如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中之一位的就是DNS服务器的BIND漏洞。

操作建议:如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。

端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

端口漏洞:如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。

操作建议:建议关闭该端口。

69端口:TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。

端口说明:69端口是为TFTP(Trival File Tranfer Protocol，次要文件传输协议)服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞:很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议:建议关闭该端口。

79端口:79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明:79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机上的user01用户的信息，可以在命令行中键入“finger user01@”即可。

端口漏洞:一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议:建议关闭该端口。

80端口:80端口是为HTTP(HyperText Transport Protocol，超文本传输协议)开放的，这是上网冲浪使用最多的协议，主要用于在WWW(World Wide Web，万维网)服务上传输信息的协议。

端口说明:80端口是为HTTP(HyperText Transport Protocol，超文本传输协议)开放的，这是上网冲浪使用最多的协议，主要用于在WWW(World Wide Web，万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站的，比如，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞:有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。

操作建议:为了能正常上网冲浪，我们必须开启80端口。

99端口:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务，该服务比较少见，一般是用不到的。

端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务，该服务比较少见，一般是用不到的。

端口漏洞:虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd.exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

操作建议:建议关闭该端口。

109、110端口:109端口是为POP2(Post Office Protocol Version 2，邮局协议2)服务开放的，110端口是为POP3(邮件协议3)服务开放的，POP2、POP3都是主要用于接收邮件的。

端口说明:109端口是为POP2(Post Office Protocol Version 2，邮局协议2)服务开放的，110端口是为POP3(邮件协议3)服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。

端口漏洞:POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

操作建议:如果是执行邮件服务器，可以打开该端口。

关闭端口DDOS攻击还有效吗？关闭所有端口，或只关闭被攻击端口能否阻止攻击？（个人电脑）

凭我自己的技术知识，认真的告诉你关闭端口可以防止DDOS攻击。

很多人不看问题主题，我发现很多人都这样回答这个问题，端口全部关闭了还叫做服务器吗？你要知道问的是：“端口全部关闭了，DDOS攻击还有效吗”，你只需回答有效和无效就行了！一般我想大家遇到的DDOS攻击大部分都是网站服务器，云主机或者轻量服务器，一般设置安全组即可！网站建设完成后，服务器设置好以后，把所有端口关闭即可，只留一个80端口和一个数据库的端口，数据库端口需要修改成一个别人猜不到的。至于20、21FTP的端口传文件的时候打开，不传文件关闭掉！更好过滤下http头把CC攻击拦截了，包括一些恶意的渗透。一般情况这样的设置几乎没有问题了。如果说你把所有端口禁止了，服务器关机了，或者网线断了，黑客是无法攻击的，留一个80端口可以防止百分之99.99的DDOS攻击，一般我们个人的网站不会有专业的人烧钱攻击，这个你可以放心，都是一些小喽啰用的肉机测试啊，或者学习，练习。

DDOS攻击包括哪些

1、TCP洪水攻击（SYN Flood）

TCP洪水攻击是当前更流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷；

发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的之一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。

导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

2、反射性攻击（DrDoS）

反射型的 DDoS 攻击是一种新的变种，与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果，从而四两拨千斤。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。

3、CC攻击（HTTP Flood）

HTTP Flood又称CC攻击，是针对Web服务在第七层协议发起的攻击。通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式，但是无法轻易识别的HTTP洪水。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。

4、直接僵尸 *** 攻击

僵尸 *** 就是我们俗称的“肉鸡”，现在“肉鸡”不再局限于传统PC，越来越多的智能物联网设备进入市场，且安全性远低于PC，这让攻击者更容易获得大量“肉鸡”；

也更容易直接发起僵尸 *** 攻击。根据僵尸 *** 的不同类型，攻击者可以使用它来执行各种不同的攻击，不仅仅是网站，还包括游戏服务器和任何其他服务。

5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击

然后通过构造畸形请求发送给服务器，服务器因不能判断处理恶意请求而瘫痪，造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类，当然也有可能不是那么全面，DDOS攻击的种类复杂而且也不断的在衍变，目前的防御也是随着攻击方式再增强。