拒絕服務(wù)攻擊(拒絕服務(wù)攻擊原理、常見方法及防范)

PAGE26拒絕服務(wù)攻擊(拒絕服務(wù)攻擊原理、常見方法及防范)網(wǎng)絡(luò)安全原理與應(yīng)用系別：計(jì)算機(jī)科學(xué)與技術(shù)系班級(jí)：網(wǎng)絡(luò)信息與技術(shù)姓名：xxx學(xué)號(hào)：xxxxxxxxxxxxx

拒絕服務(wù)攻擊原理、常見方法及防范什么是DOS攻擊DOS：即DenialOfService，拒絕服務(wù)的縮寫，可不能認(rèn)為是微軟的dos操作系統(tǒng)了。DOS攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。比如：*試圖FLOOD服務(wù)器，阻止合法的網(wǎng)絡(luò)通訊*破壞兩個(gè)機(jī)器間的連接，阻止訪問服務(wù)*阻止特殊用戶訪問服務(wù)*破壞服務(wù)器的服務(wù)或者導(dǎo)致服務(wù)器死機(jī)不過，只有那些比較陰險(xiǎn)的攻擊者才單獨(dú)使用DOS攻擊，破壞服務(wù)器。通常，DOS攻擊會(huì)被作為一次入侵的一部分，比如，繞過入侵檢測(cè)系統(tǒng)的時(shí)候，通常從用大量的攻擊出發(fā)，導(dǎo)致入侵檢測(cè)系統(tǒng)日志過多或者反應(yīng)遲鈍，這樣，入侵者就可以在潮水般的攻擊中混騙過入侵檢測(cè)系統(tǒng)。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來攻擊就不會(huì)產(chǎn)生什么效果。這時(shí)侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡(jiǎn)單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢？用100臺(tái)呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。有關(guān)TCP協(xié)議的東西

TCP（transmissioncontrolprotocol，傳輸控制協(xié)議），是用來在不可靠的因特網(wǎng)上提供可靠的、端到端的字節(jié)流通訊協(xié)議，在RFC793中有正式定義，還有一些解決錯(cuò)誤的東西在RFC1122中有記錄，RFC1323則有TCP的功能擴(kuò)展。

我們常見到的TCP/IP協(xié)議中，IP層不保證將數(shù)據(jù)報(bào)正確傳送到目的地，TCP則從本地機(jī)器接受用戶的數(shù)據(jù)流，將其分成不超過64K字節(jié)的數(shù)據(jù)片段，將每個(gè)數(shù)據(jù)片段作為單獨(dú)的IP數(shù)據(jù)包發(fā)送出去，最后在目的地機(jī)器中再組合成完整的字節(jié)流，TCP協(xié)議必須保證可靠性。

發(fā)送和接收方的TCP傳輸以數(shù)據(jù)段的形式交換數(shù)據(jù)，一個(gè)數(shù)據(jù)段包括一個(gè)固定的20字節(jié)頭，加上可選部分，后面再跟上數(shù)據(jù)，TCP協(xié)議從發(fā)送方傳送一個(gè)數(shù)據(jù)段的時(shí)候，還要啟動(dòng)計(jì)時(shí)器，當(dāng)數(shù)據(jù)段到達(dá)目的地后，接收方還要發(fā)送回一個(gè)數(shù)據(jù)段，其中有一個(gè)確認(rèn)序號(hào)，它等于希望收到的下一個(gè)數(shù)據(jù)段的順序號(hào)，如果計(jì)時(shí)器在確認(rèn)信息到達(dá)前超時(shí)了，發(fā)送方會(huì)重新發(fā)送這個(gè)數(shù)據(jù)段。

上面，我們總體上了解一點(diǎn)TCP協(xié)議，重要的是要熟悉TCP的數(shù)據(jù)頭（header）。因?yàn)閿?shù)據(jù)流的傳輸最重要的就是header里面的東西，至于發(fā)送的數(shù)據(jù)，只是header附帶上的?？蛻舳撕头?wù)端的服務(wù)響應(yīng)就是同header里面的數(shù)據(jù)相關(guān)，兩端的信息交流和交換是根據(jù)header中的內(nèi)容實(shí)施的，因此，要實(shí)現(xiàn)DOS，就必須對(duì)header中的內(nèi)容非常熟悉。

下面是TCP數(shù)據(jù)段頭格式。

SourcePort和DestinationPort:是本地端口和目標(biāo)端口

SequenceNumber和AcknowledgmentNumber：是順序號(hào)和確認(rèn)號(hào)，確認(rèn)號(hào)是希望接收的字節(jié)號(hào)。這都是32位的，在TCP流中，每個(gè)數(shù)據(jù)字節(jié)都被編號(hào)。

Dataoffset:表明TCP頭包含多少個(gè)32位字，用來確定頭的長(zhǎng)度，因?yàn)轭^中可選字段長(zhǎng)度是不定的。

Reserved:保留的6位，現(xiàn)在沒用，都是0接下來是6個(gè)1位的標(biāo)志，這是兩個(gè)計(jì)算機(jī)數(shù)據(jù)交流的信息標(biāo)志。接收和發(fā)送斷根據(jù)這些標(biāo)志來確定信息流的種類。下面是一些介紹：

URG：（UrgentPointerfieldsignificant）緊急指針。用到的時(shí)候值為1，用來處理避免TCP數(shù)據(jù)流中斷。

ACK：（Acknowledgmentfieldsignificant）置1時(shí)表示確認(rèn)號(hào)（AcknowledgmentNumber）為合法，為0的時(shí)候表示數(shù)據(jù)段不包含確認(rèn)信息，確認(rèn)號(hào)被忽略。

PSH：（PushFunction），PUSH標(biāo)志的數(shù)據(jù)，置1時(shí)請(qǐng)求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序，而不必等到緩沖區(qū)滿時(shí)才傳送。

RST：（Resettheconnection）用于復(fù)位因某種原因引起出現(xiàn)的錯(cuò)誤連接，也用來拒絕非法數(shù)據(jù)和請(qǐng)求。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。

SYN：（Synchronizesequencenumbers）用來建立連接，在連接請(qǐng)求中，SYN=1，ACK=0，連接響應(yīng)時(shí)，SYN=1，ACK=1。即，SYN和ACK來區(qū)分ConnectionRequest和ConnectionAccepted。

FIN：（Nomoredatafromsender）用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送了。

知道這重要的6個(gè)指示標(biāo)志后，我們繼續(xù)來。

16位的WINDOW字段：表示確認(rèn)了字節(jié)后還可以發(fā)送多少字節(jié)?？梢詾?，表示已經(jīng)收到包括確認(rèn)號(hào)減1（即已發(fā)送所有數(shù)據(jù)）在內(nèi)的所有數(shù)據(jù)段。

接下來是16位的Checksum字段，用來確?？煽啃缘?。

16位的UrgentPointer，和下面的字段我們這里不解釋了。不然太多了。呵呵，偷懶啊。

我們進(jìn)入比較重要的一部分：TCP連接握手過程。這個(gè)過程簡(jiǎn)單地分為三步。

在沒有連接中，接受方（我們針對(duì)服務(wù)器），服務(wù)器處于LISTEN狀態(tài)，等待其他機(jī)器發(fā)送連接請(qǐng)求。

第一步：客戶端發(fā)送一個(gè)帶SYN位的請(qǐng)求，向服務(wù)器表示需要連接，比如發(fā)送包假設(shè)請(qǐng)求序號(hào)為10，那么則為：SYN=10，ACK=0，

然后等待服務(wù)器的響應(yīng)。

第二步：服務(wù)器接收到這樣的請(qǐng)求后，查看是否在LISTEN的是指定的端口，不然，就發(fā)送RST=1應(yīng)答，拒絕建立連接。如果接收

連接，那么服務(wù)器發(fā)送確認(rèn)，SYN為服務(wù)器的一個(gè)內(nèi)碼，假設(shè)為100，ACK位則是客戶端的請(qǐng)求序號(hào)加1，本例中發(fā)送的數(shù)據(jù)是：

SYN=100，ACK=11，用這樣的數(shù)據(jù)發(fā)送給客戶端。向客戶端表示，服務(wù)器連接已經(jīng)準(zhǔn)備好了，等待客戶端的確認(rèn)

這時(shí)客戶端接收到消息后，分析得到的信息，準(zhǔn)備發(fā)送確認(rèn)連接信號(hào)到服務(wù)器

第三步：客戶端發(fā)送確認(rèn)建立連接的消息給服務(wù)器。確認(rèn)信息的SYN位是服務(wù)器發(fā)送的ACK位，ACK位是服務(wù)器發(fā)送的SYN位加1。

即：SYN=11，ACK=101。

這時(shí)，連接已經(jīng)建立起來了。然后發(fā)送數(shù)據(jù)，。這是一個(gè)基本的請(qǐng)求和連接過程。需要注意的是這些標(biāo)志位的關(guān)系，比如SYN、ACK。上面的介紹，我們了解TCP協(xié)議，以及連接過程。要對(duì)SERVER實(shí)施拒絕服務(wù)攻擊，實(shí)質(zhì)上的方式就是有兩個(gè)：一，迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求。二，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接，這就是DOS攻擊實(shí)施的基本思想。被DDoS攻擊時(shí)的現(xiàn)象：·被攻擊主機(jī)上有大量等待的TCP連接·網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假·制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊·利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求·嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)攻擊進(jìn)行原理：

如圖一，一個(gè)比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)第4部分的受害者來說，DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。有的朋友也許會(huì)問道："為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到（我在小時(shí)候向別人家的雞窩扔石頭的時(shí)候也曉得在第一時(shí)間逃掉，呵呵），而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后，高水平的攻擊者會(huì)首先做兩件事：1.考慮如何留好后門（我以后還要回來的哦）！2.如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會(huì)不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會(huì)知道有人干了壞事了，頂多無法再?gòu)娜罩景l(fā)現(xiàn)是誰干的而已。相反，真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀儡機(jī)。但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī)，這上級(jí)的計(jì)算機(jī)如果是黑客自己的機(jī)器，那么他就會(huì)被揪出來了。但如果這是控制用的傀儡機(jī)的話，黑客自身還是安全的?？刂瓶軝C(jī)的數(shù)目相對(duì)很少，一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)，清理一臺(tái)計(jì)算機(jī)的日志對(duì)黑客來講就輕松多了，這樣從控制機(jī)再找到黑客的可能性也大大降低。黑客是如何組織一次DDoS攻擊的？

這里用"組織"這個(gè)詞，是因?yàn)镈DoS并不象入侵一臺(tái)主機(jī)那樣簡(jiǎn)單。一般來說，黑客進(jìn)行DDoS攻擊時(shí)會(huì)經(jīng)過這樣的步驟：1.搜集了解目標(biāo)的情況

下列情況是黑客非常關(guān)心的情報(bào)：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況目標(biāo)主機(jī)的配置、性能目標(biāo)的帶寬對(duì)于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，如，有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站可能有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。以yahoo為例，一般會(huì)有下列地址都是提供服務(wù)的：

7

8

9

0

1

3

4

6如果要進(jìn)行DDoS攻擊的話，應(yīng)該攻擊哪一個(gè)地址呢？使7這臺(tái)機(jī)器癱掉，但其他的主機(jī)還是能向外提供www服務(wù)，所以想讓別人訪問不到的話，要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中，一個(gè)IP地址往往還代表著數(shù)臺(tái)機(jī)器：網(wǎng)站維護(hù)者使用了四層或七層交換機(jī)來做負(fù)載均衡，把對(duì)一個(gè)IP地址的訪問以特定的算法分配到下屬的每個(gè)主機(jī)上去。這時(shí)對(duì)于DDoS攻擊者來說情況就更復(fù)雜了，他面對(duì)的任務(wù)可能是讓幾十臺(tái)主機(jī)的服務(wù)都不正常。所以說事先搜集情報(bào)對(duì)DDoS攻擊者來說是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問題。簡(jiǎn)單地考慮一下，在相同的條件下，攻擊同一站點(diǎn)的2臺(tái)主機(jī)需要2臺(tái)傀儡機(jī)的話，攻擊5臺(tái)主機(jī)可能就需要5臺(tái)以上的傀儡機(jī)。有人說做攻擊的傀儡機(jī)越多越好，不管你有多少臺(tái)主機(jī)我都用盡量多的傀儡機(jī)來攻就是了，反正傀儡機(jī)超過了時(shí)候效果更好。但在實(shí)際過程中，有很多黑客并不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊，這時(shí)候攻擊的盲目性就很大了，效果如何也要靠運(yùn)氣。其實(shí)做黑客也象網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。2.占領(lǐng)傀儡機(jī)

黑客最感興趣的是有下列情況的主機(jī)：鏈路狀態(tài)好的主機(jī)性能好的主機(jī)安全管理水平差的主機(jī)這一部分實(shí)際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡(jiǎn)單地說，就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限，或者至少得到一個(gè)有權(quán)限完成DDoS攻擊任務(wù)的帳號(hào)。對(duì)于一個(gè)DDoS攻擊者來說，準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個(gè)必要的條件，下面說一下他是如何攻擊并占領(lǐng)它們的。首先，黑客做的工作一般是掃描，隨機(jī)地或者是有針對(duì)性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫(kù)漏洞…(簡(jiǎn)直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說了，感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。總之黑客現(xiàn)在占領(lǐng)了一臺(tái)傀儡機(jī)了！然后他做什么呢？除了上面說過留后門擦腳印這些基本工作之外，他會(huì)把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機(jī)上，會(huì)有一個(gè)DDoS的發(fā)包程序，黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。3.實(shí)際攻擊

經(jīng)過前2個(gè)階段的精心準(zhǔn)備之后，黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話，實(shí)際攻擊過程反而是比較簡(jiǎn)單的。就象圖示里的那樣，黑客登錄到做為控制臺(tái)的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令："預(yù)備~，瞄準(zhǔn)~，開火!"。這時(shí)候埋伏在攻擊機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無法響應(yīng)正常的請(qǐng)求。黑客一般會(huì)以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊，他們不會(huì)"憐香惜玉"。老到的攻擊者一邊攻擊，還會(huì)用各種手段來監(jiān)視攻擊的效果，在需要的時(shí)候進(jìn)行一些調(diào)整。簡(jiǎn)單些就是開個(gè)窗口不斷地ping目標(biāo)主機(jī)，在能接到回應(yīng)的時(shí)候就再加大一些流量或是再命令更多的傀儡機(jī)來加入攻擊。DDoS攻擊實(shí)例：●SYNFlood攻擊SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分布式這一階段發(fā)展的時(shí)候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好，應(yīng)該是眾黑客不約而同選擇它的原因吧。那么我們一起來看看SYN-Flood的詳細(xì)情況。SynFlood原理-三次握手

SynFlood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SynFlood存在的基礎(chǔ)。TCP連接的三次握手

圖二TCP三次握手如圖二，在第一步中，客戶端向服務(wù)端提出連接請(qǐng)求。這時(shí)TCPSYN標(biāo)志置位?？蛻舳烁嬖V服務(wù)端序列號(hào)區(qū)域合法，需要檢查。客戶端在TCP報(bào)頭的序列號(hào)區(qū)中插入自己的ISN。服務(wù)端收到該TCP分段后，在第二步以自己的ISN回應(yīng)(SYN標(biāo)志置位)，同時(shí)確認(rèn)收到客戶端的第一個(gè)TCP分段(ACK標(biāo)志置位)。在第三步中，客戶端確認(rèn)收到服務(wù)端的ISN(ACK標(biāo)志置位)。到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程。SynFlood攻擊者不會(huì)完成三次握手

圖三SynFlood惡意地不完成三次握手假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYNTimeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源數(shù)以萬計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之?。?，此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）?！馡P欺騙DOS攻擊這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶()已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。

攻擊時(shí)，偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶服務(wù)。

●帶寬DOS攻擊如果你的連接帶寬足夠大而服務(wù)器又不是很大，你可以發(fā)送請(qǐng)求，來消耗服務(wù)器的緩沖區(qū)消耗服務(wù)器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實(shí)施DOS，威力巨大。不過是初級(jí)DOS攻擊。呵呵。Ping白宮？？你發(fā)瘋了?。?/p>

●自身消耗的DOS攻擊

這是一種老式的攻擊手法。說老式，是因?yàn)槔鲜降南到y(tǒng)有這樣的自身BUG。比如Win95(winsockv1),CiscoIOSv.10.x,和其他過時(shí)的系統(tǒng)。

這種DOS攻擊就是把請(qǐng)求客戶端IP和端口弄成主機(jī)的IP端口相同，發(fā)送給主機(jī)。使得主機(jī)給自己發(fā)送TCP請(qǐng)求和連接。這種主機(jī)的漏洞會(huì)很快把資源消耗光。直接導(dǎo)致當(dāng)機(jī)。這中偽裝對(duì)一些身份認(rèn)證系統(tǒng)還是威脅巨大的。

上面這些實(shí)施DOS攻擊的手段最主要的就是構(gòu)造需要的TCP數(shù)據(jù)，充分利用TCP協(xié)議。這些攻擊方法都是建立在TCP基礎(chǔ)上的。還有其他的DOS攻擊手段。

●塞滿服務(wù)器的硬盤

通常，如果服務(wù)器可以沒有限制地執(zhí)行寫操作，那么都能成為塞滿硬盤造成DOS攻擊的途徑，比如：

發(fā)送垃圾郵件。一般公司的服務(wù)器可能把郵件服務(wù)器和WEB服務(wù)器都放在一起。破壞者可以發(fā)送大量的垃圾郵件，這些郵件可能都塞在一個(gè)郵件隊(duì)列中或者就是壞郵件隊(duì)列中，直到郵箱被撐破或者把硬盤塞滿。

讓日志記錄滿。入侵者可以構(gòu)造大量的錯(cuò)誤信息發(fā)送出來，服務(wù)器記錄這些錯(cuò)誤，可能就造成日志文件非常龐大，甚至?xí)麧M硬盤。同時(shí)會(huì)讓管理員痛苦地面對(duì)大量的日志，甚至就不能發(fā)現(xiàn)入侵者真正的入侵途徑。

向匿名FTP塞垃圾文件。這樣也可以塞滿硬盤空間。

●合理利用策略

一般服務(wù)器都有關(guān)于帳戶鎖定的安全策略，比如，某個(gè)帳戶連續(xù)3次登陸失敗，那么這個(gè)帳號(hào)將被鎖定。這點(diǎn)也可以被破壞者利用，他們偽裝一個(gè)帳號(hào)去錯(cuò)誤登陸，這樣使得這個(gè)帳號(hào)被鎖定，而正常的合法用戶就不能使用這個(gè)帳號(hào)去登陸系統(tǒng)了。防范與抵御DDoS攻擊對(duì)DDoS攻擊來說并沒有100％有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能實(shí)現(xiàn)有效的攻擊，所以只要我們更好地了解DDoS攻擊，積極部署防御措施，還是能在很大程度上緩解和抵御這類安全威脅的。另外，加強(qiáng)用戶的安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性也是很重要的措施。監(jiān)控骨干網(wǎng)絡(luò)設(shè)備，減少骨干網(wǎng)主機(jī)的漏洞加強(qiáng)對(duì)骨干網(wǎng)絡(luò)設(shè)備的監(jiān)控，常用的方法包括限制連接隊(duì)列的長(zhǎng)度以及減少處理延時(shí)等。前者可以緩解系統(tǒng)資源的耗盡，雖然不能完全避免拒絕服務(wù)的發(fā)生，但是至少在一定程度上降低了系統(tǒng)崩潰的可能性，而后者能夠加強(qiáng)系統(tǒng)的處理能力。通過減少延時(shí)，我們能以更快的速度拋棄隊(duì)列里等待的連接，而不是任其堆滿隊(duì)列。不過這種方法也不是在所有的情況下都有效，因?yàn)楹芏郉DoS的攻擊機(jī)制并不是建立在類似SYNFlood這樣以畸形連接淹沒隊(duì)列的方式之上的。

幾乎所有的主機(jī)平臺(tái)都有抵御DDoS的設(shè)置，基本的設(shè)置有四種：

1.關(guān)閉不必要的服務(wù)。確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù)，如FTP或NFS。Wu-Ftpd等守護(hù)程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)——甚至是受防火墻保護(hù)的系統(tǒng)。確保運(yùn)行在Unix主機(jī)上的所有服務(wù)都有TCP封裝程序，限制對(duì)主機(jī)的訪問權(quán)限。

2.限制同時(shí)打開的Syn半連接數(shù)目。

3.縮短Syn半連接的timeout時(shí)間。

4.及時(shí)更新系統(tǒng)補(bǔ)丁。確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁，計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。因此應(yīng)當(dāng)及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。

合理配置路由器及防火墻，實(shí)現(xiàn)IDS和防火墻的聯(lián)動(dòng)企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個(gè)設(shè)備是與外界的接口設(shè)備。需要注意的是防DDoS的設(shè)置是以犧牲效率為代價(jià)的。路由器（以Cisco路由器為例）

1．CiscoExpressForwarding（CEF）。

2．使用unicastreverse-path。

3．訪問控制列表（ACL）過濾。

4．設(shè)置SYN數(shù)據(jù)包流量速率。

5．升級(jí)版本過低的ISO。

6．為路由器建立logserver。

其中使用CEF和Unicast設(shè)置時(shí)要特別注意，使用不當(dāng)會(huì)造成路由器工作效率嚴(yán)重下降，升級(jí)IOS也應(yīng)謹(jǐn)慎。

在思科路由器上使用ipverfyunicastreverse-path網(wǎng)絡(luò)接口命令，這個(gè)功能檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)（UnicastReversePathForwarding）在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和其他基于IP地址偽裝的攻擊，這能夠保護(hù)網(wǎng)絡(luò)和客戶避免受來自互聯(lián)網(wǎng)其他地方的侵?jǐn)_。使用UnicastRPF需要打開路由器的“\CEFswithing\”或“\CEFdistributedswitching\”選項(xiàng)，不需要將輸入接口配置為CEF交換（switching）。只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其他交換（switching）模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

防火墻

1．禁止對(duì)主機(jī)的非開放服務(wù)的訪問。

2．限制同時(shí)打開的SYN最大連接數(shù)。

3．限制特定IP地址的訪問。

4．啟用防火墻的防DDoS屬性。

5．嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問。

要限制在防火墻外與網(wǎng)絡(luò)文件共享，因?yàn)檫@會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功