本文目录一览：

• 1、什么是拒绝服务(DoS)
• 2、什么是拒绝服务攻击
• 3、拒绝服务攻击？
• 4、什么是拒绝服务攻击(DoS)的原理。

什么是拒绝服务(DoS)

拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

DoS

：

我们所说的

DoS (Denial of Service)

攻击其中文含义是拒绝服务攻击，

这种攻击行动使网站

服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于

瘫痪而停止提供正常的网络服务。

黑客不正当地采用标准协议或连接方法，

向攻击的服务发出

大量的讯息，占用及超越受攻击服务器所能处理的能力，使它当

(Down)

机或不能正常地为用户

服务。

“

拒绝服务

”

是如何攻击的通过普通的网络连线，使用者传送信息要求服务器予以确定。服务器

于是回复用户。用户被确定后，就可登入服务器。

“

拒绝服务

”

的攻击方式为：用户传送众多要

求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地

址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，

然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复

始，最终导致服务器无法动弹，瘫痪在地。

在这些

DoS

攻击方法中，又可以分为下列几种：

TCP SYN Flooding

Smurf

Fraggle

1.TCP Syn Flooding

由于

TCP

协议连接三次握手的需要，在每个

TCP

建立连接时，都要发送一个带

SYN

标记的数据

包，如果在服务器端发送应答包后，客户端不发出确认，服务器会等待到数据超时，如果大量

的带

SYN

标记的数据包发到服务器端后都没有应答，会使服务器端的

TCP

资源迅速枯竭，导致

正常的连接不能进入，甚至会导致服务器的系统崩溃。这就是

TCP

SYN Flooding

攻击的过程。

图

1 TCP Syn

攻击

TCP

Syn

攻击是由受控制的大量客户发出

TCP

请求但不作回复，使服务器资源被占用，再也

无法正常为用户服务。服务器要等待超时

(Time

Out)

才能断开已分配的资源。

2.Smurf

黑客采用

ICMP(Internet Control Message Protocol RFC792)

技术进行攻击。常用的

ICMP

有

PING

。

首先黑客找出网络上有哪些路由器会回应

ICMP

请求。

然后用一个虚假的

IP

源地

址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。这些

设备又马上回应，这样会产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的

地址就是受攻击的目标。例如用

500K bit/sec

流量的

ICMP echo (PING)

包广播到

100

台设备，

产生

100

个

PING

回应，便产生

50M bit/sec

流量。这些流量流向被攻击的服务器

,

便会使这服

务器瘫痪。

ICMP Smurf

的袭击加深了

ICMP

的泛滥程度，

导致了在一个数据包产生成千的

ICMP

数据包发送

到一个根本不需要它们的主机中去，传输多重信息包的服务器用作

Smurf

的放大器。

图

2 Smurf

攻击图

3.Fraggle

：

Fraggle

基本概念及做法像

Smurf,

但它是采用

UDP echo

讯息。

如何阻挡

“

拒绝服务

”

的攻击

阻挡

“

拒绝服务

”

的攻击的常用方法之一是：

在网络上建立一个过滤器

（

filter

）

或侦测器

（

sniffer

）

，

在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行动。如果某种可疑行动经常

出现，过滤器能接受指示，阻挡包含那种信息，让网站服务器的对外连接线路保持畅通。

DDoS

：

DDoS(Distributed Denial of Service)

其中文含义为分布式拒绝服务攻击。

Distributed

DoS

是黑客控制一些数量的

PC

机或路由器，用这些

PC

机或路由器发动

DoS

攻

击。因为黑客自己的

PC

机可能不足够产生出大量的讯息，使遭受攻击的网络服务器处理能力

全部被占用。

黑客采用

IP

Spoofing

技术，令他自己的

IP

地址隐藏，所以很难追查。如果是在

Distributed

DoS

情况下，被追查出来的都是被黑客控制的用户的

IP

地址；他们本身也是受害者。

什么是拒绝服务攻击

分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。本文从概念开始详细介绍了这种攻击方式，着重描述了黑客是如何组织并发起的DDoS攻击，结合其中的Syn Flood实例，您可以对DDoS攻击有一个更形象的了解。最后作者结合自己的经验与国内网络安全的现况探讨了一些防御DDoS的实际手段。

DDoS攻击概念

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

网络中充斥着大量的无用的数据包，源地址为假

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

黑客是如何组织一次DDoS攻击的？

这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：

1. 搜集了解目标的情况

下列情况是黑客非常关心的情报：

被攻击目标主机数目、地址情况

目标主机的配置、性能

目标的带宽

对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供服务的：

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

2. 占领傀儡机

黑客最感兴趣的是有下列情况的主机：

链路状态好的主机

性能好的主机

安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

3. 实际攻击

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击

拒绝服务攻击？

拒绝服务攻击是一种拒绝用户或客户端对特定的系统和网络资源进行访问的技术。

其实现可以是利用操作系统或软件的漏洞，也可以在使用非常大数量的合法请求，其结果都会形成过多的资源消耗或使资源崩溃，以实现对资源的拒绝访问目的。

ping of death

ICMP报文是由系统内核或进程直接处理而不是通过端口，因此构造ICMP报文一向是攻击主机的最好方法之一。

一个完整的IP数据包最大为65535Byte，如果底层协议的MTU小于上层IP数据包的大小，IP包就应该分片，并由接收者进行重组。

典型的以太网的MTU为1500Byte。ICMP作为内嵌于IP中的协议，其容许的最大数据量应该是65535-20-8Byte。其中，20为IP头的大小，8为ICMP头的大小。

在很多操作系统的早期版本中，对网络数据包的最大尺寸有限制。对单个IP报文的处理过程中通常要设置有一定大小的缓冲区，以应付IP分片的情况。接收数据包时，网络层协议要对IP分片进行重组，可是，如果重组后的数据报文长度超过了IP报文缓冲区的上限时，就会出现溢出现象，导致TCP/IP协议栈的崩溃。

早期的Ping工具允许任意设置发送数据的字节数，于是，黑客只需要简单地利用ping工具就可以让目标主机拒绝服务。

防御：

死Ping的问题已经是一个比较古老的问题了。

现在所有的标准TCP/IP实现都能够对付超大尺寸的包，例如Windows 2000中的Ping命令只允许发送65500Byte大小的数据，Linux则一律是84Byte，不分片。并且大多数防火墙能够自动过滤这些攻击。并且只有ping会造成这种问题。

在早期的操作系统，如Windows NT 3.51或windows 95中，都存在这样的问题。 因此，Ping of Death对于仍在使用的早期未打补丁的操作系统仍然奏效。

tear drop

利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞。Windows 3.1/95/NT以及Linux 2.1.63以前的版本都存在这个问题。

攻击者向目标主机发送两个分片的IP包。第一个IP包的数据偏移(offset)设为0，有效数据长度为N。第二个IP包的数据偏移设为K(KN)，有效数据长度为S(K+SN)。

操作系统需要将分片的IP包组合成一个完整的IP包，IP分片含有指示该分段包含的是原包的哪一段的信息。重组的时候，免不了出现一些重叠现象，需要对此进行处理。

syn floor

由于这种攻击使用的是正常的TCP网络服务都不会禁止的SYN类型数据包，而且数据包很小，很容易快速产生。最重要的是，黑客根本不需要得到目标主机的返回信息，所以他可以伪造数据包的源IP地址和源端口，让目标主机无法追查来源。

如果黑客源源不断的发送这种SYN包，每一个源IP地址都是随机产生的一些虚假地址。导致受害者不能再进行IP过滤或追查攻击源，受害者的目标端口未完成队列就不断壮大，因为超时丢弃总没有新接收的速度快。所以，一直到该队列被拥塞满了为止，所有外来的连接请求不会再得到正常响应。

所以这种攻击不容易防范。一般需要借助防火墙。例如，防火墙在接收到客户端的SYN请求后，并不立即转发给服务器，而是代表服务器建立了完整的TCP连接之后，才向服务器 转发真正的连接请求。如国内的天网防火墙。

land

攻击者为接收设备伪造一个特定的数据包，在数据包的来源和目的地址域都包含接收设备的因特网地址，还包含了相同的来源和目的端口号。这种伪造的数据包使得设备试图向伪造的数据包中的目的地址和端口做出应答，而扰乱设备。

smurf

smurf来源于最初发起这种攻击的程序名字。

在Smurf攻击中，攻击者发送一个ICMP echo请求包，并设置源地址为受攻击主机的IP地址，目的地址为广播地址。如果网段为10.2.1.0-24，那么广播地址为10.2.1.255。因此，大量的ICMP echo响应包会发送到被攻击主机，而消耗其网络带宽和CPU周期。同时，通向受攻击主机的路由器也会崩溃。 

之所以smurf攻击屡屡奏效，并非受害主机的操作系统或者网络协议有什么问题，而在于这种攻击的“借力”效果。黑客可以利用自己有限的带宽，同时找到一个高带宽的网络作为反弹攻击跳板，转而攻击一个有限带宽的受害系统。最终的结果，就好比一个宽敞的高速公路，却有一个极狭窄的出口，可是所有车辆都必须从这个出口通行，从而导致交通堵塞。更严重的是，这种攻击不仅能使被害主机拒绝服务，该主机所在网络也连带受害，所有与外界网络的通信都会受到影响

分布式拒绝服务攻击

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小、网络带宽小时其效果明显。随着计算机处理能力增长，内存增加，出现千兆级别的网络，加强了对恶意攻击包的"消化能力"，加大了 DoS攻击的困难程度。例如攻击软件每秒钟可以发送3,000个攻击包，但主机和网络带宽每秒钟可以处理10,000个攻击包。如图所示，一个比较完善的DDoS攻击体系分成四大部分。第2和第3部分分别用做控制和实际发起攻击。对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

什么是拒绝服务攻击(DoS)的原理。

SYN Flood：这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手（Three-way Handshake），而SYN Flood拒绝服务。

攻击就是通过三次握手而实现的 。

1、攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN（Synchronize）即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

2、受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时，TCP序号被加一，ACK（Acknowledgment）即确认，这样就同被攻击服务器建立了第二次握手。

3、攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。

这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；

一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况（伪造IP地址），那么服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

实际上，如果服务器的TC P/IP栈不够强大，那么最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小）；

此时，从正常客户的角度看来，服务器失去响应，这种情况就称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应的第一步的SYN包，所以我们就击退了这次SYN洪水攻击。

防御方式

拒绝服务攻击的防御方式通常为入侵检测，流量过滤和多重验证，旨在堵塞网络带宽的流量将被过滤，而正常的流量可正常通过。

1、防火墙

防火墙可以设置规则，例如允许或拒绝特定通讯协议，端口或IP地址。当攻击从少数不正常的IP地址发出时，可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信。

复杂攻击难以用简单规则来阻止，例如80端口（网页服务）遭受攻击时不可能拒绝端口所有的通信，因为其同时会阻止合法流量。

2、交换机

大多数交换机有一定的速度限制和访问控制能力。有些交换机提供自动速度限制、流量整形、后期连接、深度包检测和假IP过滤功能，可以检测并过滤拒绝服务攻击。例如SYN洪水攻击可以通过后期连接加以预防。基于内容的攻击可以利用深度包检测阻止。

以上内容参考 百度百科-拒绝服务攻击