网络安全防范：拒绝服务攻击简介

拒绝服务攻击是一种非常有效的攻击技术，它利用协议或系统的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即对外表现为拒绝提供服务。

1.DoS攻击

在众多网络攻击技术中，DoS攻击是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的访问服务，下面介绍几种常见的DoS攻击方法。

（1）SYN/ACK Flood洪水攻击

这种攻击方法是经典有效的DoS方法，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的，所以追踪起来比较困难，需要高带宽的僵尸主机支持。少量的这种攻击会导致无法访问主机服务器，但却可以ping通，在服务器上用Netstat-na命令会观察到存在大量的SYN_RECEIVED状态。大量的这种攻击会导致ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

（2）Land攻击

Land攻击是由著名的黑客组织RootShell发明的，于1997年11月20日公布的，原理比较简单，就是利用TCP连接三握手中的缺陷，向目标主机发送源地址与目标地址一样的数据包，造成目标主机解析Land包占用太多的资源，从而使网络功能完全瘫痪。具体来说，Land攻击打造一个特别的SYN包，其源地址和目标地址被设置成同一个计算机的地址，这时将导致该计算机向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每个这样的连接都将保留直到超时。

（3）Smurf攻击

Smurf是一种很古老的DoS攻击。这种方法使用了广播地址，广播地址的尾数通常为0，比如：192.168.1.0。在一个有N台计算机的网络中，当其中一台主机向广播地址发送了1KB大小的ICMP Echo Requst时，那么它将收到N KB大小的ICMP Reply。如果N足够大它将淹没该主机，最终导致该网络的所有主机都对此ICMP Echo Requst作出答复，使网络阻塞。利用此攻击假冒受害主机的IP时它会收到应答，形成一次拒绝服务攻击。Smurf攻击的流量比Ping of death洪水的流量高出一两个数量级，而且更加隐蔽。

（4）UDP Flood攻击

用Telnet连接到对方TCP chargen 19号端口，可看到返回了大量的回应数据。UDP Flood攻击就是通过伪造与某一台主机的Chargen服务之间的UDP连接，回复地址指向开着Echo服务的一台主机，这就能在两台主机之间产生无用的数据流，如果数据流足够多就会导致DoS。

2.DDoS攻击(www.xing528.com)

DDoS攻击是基于DoS攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击。它是一种大规模协作的攻击方式，主要瞄准比较大的商业站点，具有较大的破坏性。DDoS攻击由攻击者、主控端和代理端组成。攻击者是整个DDoS攻击发起的源头，它事先已经取得了多台主控端计算机的控制权，主控端计算机分别控制着多台代理端计算机。在主控端计算机上运行着特殊的控制进程，可以接受攻击者发来的控制指令，操作代理端计算机对目标计算机发起DDoS攻击。

DDoS攻击之前，首先扫描并入侵有安全漏洞的计算机并取得其控制权，然后在每台被入侵的计算机中安装具有攻击功能的远程遥控程序，用于等待攻击者发出的入侵命令。这些工作是自动、高速完成的，完成后攻击者会消除它的入侵痕迹，使系统的正常用户一般不会有所察觉。攻击者之后会继续利用已控制的计算机扫描和入侵更多的计算机。重复执行以上步骤，将会控制越来越多的计算机。

常用的DDoS攻击工具有：

●Trinoo和Wintrinoo。

●TFN和TFN2K。

●Stacheldraht。

3.造成DoS攻击的原因

DoS攻击可以说是由如下原因造成的。

1）软件弱点造成的漏洞。这包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商，所以对于由软件引起的漏洞只能依靠打补丁来弥补。

2）错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置、服务器系统或者应用程序中，大多是由于一些没经验、不负责任员工或者错误的理论所造成。因此我们必须保证对网络中的路由器、交换机等网络连接设备和服务器系统都进行正确的配置，这样才会减小这些错误发生的可能性。

3）重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支持能力时，就会造成拒绝服务攻击。