поширеність WWW систем зробила HTTP чудесної мішенню для нападників. Власне кажучи, атака HTTP flood пов'язана з бомбардуванням Веб сервера звичайними HTTP запитами. Відповідно до недавніх досліджень [11], HTTP flood атака входить в функціональний набір абсолютної більшості ботнет. Для того, щоб послати HTTP запит необхідно спочатку встановити дійсне TCP з'єднання, яке вимагає наявності дійсної IP адреси. Нападник тут може використовувати IP адреса ботів. Більш того, нападаючий може сконструювати особливий запит для збільшення сили атаки або для того, щоб уникнути виявлення. Наприклад, видати боту інструкцію послати HTTP запит на завантаження великого файлу. Тоді комп'ютера жертви необхідно вважати цей файл з диска, завантажити в пам'ять, завантажити в пакети і посилати їх в ботнет. Отже, навіть простий HTTP запит може привести до значної завантаженні процесору, пам'яті, пристроїв вводу / виводу і лінії з'єднання з Інтернет. Однак така поведінка трафіку, як у попередньому прикладі є підозрілою. Повторні запити на завантаження можуть бути виявлені і блоковані. Складнішою стратегією є імітація звичайного трафіку. Нападник може задати ботам програму пересилання HTTP запитів, аналізу відповідей і рекурсивного відкриття посилань. У цьому випадку HTTP запити від атакуючої мережі дуже подібні на нормальний веб трафік, що ускладнює фільтрацію атак цього типу.
ICMP атаки. У атаках цього типу використовуються особливості реалізації протоколу ICMP. Оскільки цей протокол є внутрішнім механізмом підтримки працездатності IP-мереж, то він природно викликав підвищену увагу нападників. Виділяють [12] кілька типів. Перший тип - атака розриву з'єднання (connection - reset attacks) використовує ICMP-повідомлення, які сигналізують про фатальну помилку і викликають до припинення TCP-з'єднання. Якщо нападник сфальсифікує такий пакет і пошле його жертві, то її з'єднання з сервером буде розірвано. Для формування такого пакету йому потрібно знати IP адреси жертви і сервера, порт і унікальне число, яке ідентифікує з'єднання. Для підбору останньої величини йому достатньо надіслати всього 65536 пакети. Ця слабкість була виявлено 13 березня 2005 року та зачепила велику кількість операційних систем, маршрутизаторів. Зокрема, Windows XP, Windows 2000, Windows 2000 Server, Windows 98. Другий тип [13] полягає у звуженні пропускної здатності (throughput - reduction attacks), при цьому використовуються ICMP-повідомлення, які вимагають від джерела зменшення пропускного каналу. Це службові пакети, які надсилаються мережею в разі її перевантаження. Для їх підробки використовується аналогічний вищенаведеному набір параметрів. Нарешті третій тип [13] пов'язаний з пакетами ICMP, які відповідають за допустиму фрагментацію пакетів. Посилаючи сфальсифікований пакет на адресу джерела нападник домагається ситуації коли великий файл надсилається мізерними шматочками, що, звичайно, знижує швидкість передачі.
SYN Flood. Перед тим як перейти до опису SYN flood атаки потрібно згадати послідовність встановлення TCP з'єднань. TCP з'єднання встановлюється між клієнтом, який ініціює з'єднання і сервером, який отримує запит. На початку кожного TCP з'єднання клієнт звертається до сервера для виконання процедури, яка називається потрійне рукостискання (a three - way handshake) [14]. По-перше, клієнт посилає серверу SYN пакет, питаючи про з'єднання. Потім сервер відповідає на запит пакетом SYN - A...
