源地址沒有找到，間接引用地址：http://wushank.blog.51cto.com/3489095/1156004

DoS到底是什么？接觸PC機較早的同志會直接想到微軟磁盤操作系統的DOS--DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務的縮寫。

??? DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

?一、概念理解：

作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸占著餐桌不結賬，堵住餐館的大門不讓路，騷擾餐館的服務員或廚子不能干活，甚至更惡劣……相應的計算機和網絡系統則是為Internet用戶提供互聯網資源的，如果有黑客要進行DoS攻擊的話，可以想象同樣有好多手段！今天最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。 傳統上，攻擊者所面臨的主要問題是網絡帶寬，由于較小的網絡規模和較慢的網絡速度的限制，攻擊者無法發出過多的請求。雖然類似“thepingofdeath”的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統，但大多數的DoS攻擊還是需要相當大的帶寬的，而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點，DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS攻擊。 無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網絡服務的黑客方式，雖然具體的實現方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。其具體表現方式有以下幾種： 1. 制造大流量無用數據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正常和外界通信。 2. 利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷，反復高頻的發出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。 3. 利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷，反復發送畸形的攻擊數據引發系統錯誤的分配大量系統資源，使主機處于掛起狀態甚至死機。

二、攻擊流程：

要理解dos攻擊，首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協議中，TCP協議提供可靠的連接服務，采用三次握手建立一個連接。 1.第一次握手:建立連接時，客戶端發送SYN包((SYN=i)到服務器，并進入SYN SEND狀態，等待服務器確認; 2.第二次握手:服務器收到SYN包，必須確認客戶的SYN (ACK=i+1 )，同時自己也發送一個SYN包((SYN=j)}即SYN+ACK包，此時服務器進入SYN_RECV狀態; 3.第三次握手:客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK(ACK=j+1)，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手，客戶端與服務器開始傳送數據。 在上述過程中，還有一些重要的概念:

---

1. 半連接:收到SYN包而還未收到ACK包時的連接狀態稱為半連接，即尚未完全完成三次握手的TCP連接。 2. 半連接隊列:在三次握手協議中，服務器維護一個半連接隊列，該隊列為每個客戶端的SYN包(SYN=i )開設一個條目，該條目表明服務器已收到SYN包，并向客戶發出確認，正在等待客戶的確認包。這些條目所標識的連接在服務器處于SYN_ RECV狀態，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態。 3. Backlog參數:表示半連接隊列的最大容納數目。 4. SYN-ACK重傳次數:服務器發送完SYN-ACK包，如果未收到客戶確認包，服務器進行首次重傳，等待一段時間 仍未收到客戶確認包，進行第二次重傳，如果重傳次數超過系統規定的最大重傳次數，系統將該連接信息、從半連接隊列中刪除。注意，每次重傳等待的時間不一定 相同。 5. 半連接存活時間:是指半連接隊列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間，該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。 上面三個參數對系統的TCP連接狀況有很大影響。 SYN洪水攻擊屬于DoS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。 SYN攻擊除了能影響主機外，還可以危害路由器、防火墻等網絡系統，事實上SYN攻擊并不管目標是什么系統，只要這些系統打開TCP服務就可以實施。從圖 4-3可看到，服務器接收到連接請求(SYN=i )將此信息加入未連接隊列，并發送請求包給客戶端( SYN=j,ACK=i+1 )，此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時，重發請求包，一直到超時，才將此條目從未連接隊列刪除。配合IP欺騙，SYN攻擊能 達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP地址，向服務器不斷地發送SYN包，服務器回復確認包，并等待客戶的確認，由于源地址是不存 在的，服務器需要不斷的重發直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN 請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。過程如下: 攻擊主機C(地址偽裝后為C&apos;)-----大量SYN包---->被攻擊主機 C&apos;<-------SYN/ACK包----被攻擊主機 由于C’地址不可達，被攻擊主機等待SYN包超時。攻擊主機通過發大量SYN包填滿未連接隊列，導致正常SYN包被拒絕服務。另外，SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。

三、攻擊手段：

??? 拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎么實現的。?

?? 1. 死亡之ping (pingofdeath) ICMP(InternetControlMessageProtocol，Internet控制信息協議)在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系，通過發送一個“回音請求”（echorequest）信息包看看主機是否“活著”。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定，許多操作系統的TCP/IP協議棧都規定ICMP包大小為64KB，且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區。"PingofDeath"就是故意產生畸形的測試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未采取保護措施的網絡系統出現內存分配錯誤，導致TCP/IP協議棧崩潰，最終接收方宕機。

?? 2. 淚滴 (teardrop)

淚滴攻擊利用在TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP協議棧（例如NT在servicepack4以前）在收到含有重疊偏移的偽造分段時將崩潰。 ?? 3. UDP泛洪(UDPflood) UDPflood攻擊：如今在Internet上UDP（用戶數據包協議）的應用比較廣泛，很多提供WWW和Mail等服務設備通常是使用Unix的服務器，它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊，通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，通過將Chargen和Echo服務互指，來回傳送毫無用處且占滿帶寬的垃圾數據，在兩臺主機之間生成足夠多的無用數據流，這一拒絕服務攻擊飛快地導致網絡可用帶寬耗盡。 ?? 4. SYN泛洪(SYNflood) SYNflood攻擊：我們知道當用戶進行一次標準的 TCP（TransmissionControlProtocol）連接時，會有一個3次握手過程。首先是請求服務方發送一個 SYN（SynchronizeSequenceNumber）消息，服務方收到SYN后，會向請求方回送一個SYN-ACK表示確認，當請求方收到 SYN-ACK后，再次向服務方發送一個ACK消息，這樣一次TCP連接建立成功。“SYNFlooding”則專門針對TCP協議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊，其在實現過程中只進行前2個步驟：當服務方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應，于是服務方會在一定時間處于等待接收請求方ACK消息的狀態。而對于某臺服務器來說，可用的TCP連接是有限的，因為他們只有有限的內存緩沖區用于創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直至緩沖區里的連接企圖超時。如果惡意攻擊方快速連續地發送此類連接請求，該服務器可用的TCP連接隊列將很快被阻塞，系統可用資源急劇減少，網絡可用帶寬迅速縮小，長此下去，除了少數幸運用戶的請求可以插在大量虛假請求間得到應答外，服務器將無法向用戶提供正常的合法服務。 ??? 5. Land（LandAttack）攻擊 在Land攻擊中，黑客利用一個特別打造的SYN包--它的原地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續五分鐘）。

?? ??6. IP欺騙dos攻擊

? ?? 這種攻擊利用TCP協議棧的RST位來實現，使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。假設現在有一個合法用戶（100.100.100.100）已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為100.100.100.100，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從100.100.100.100發送的連接有錯誤，就會清空緩沖區中已建立好的連接。這時，合法用戶100.100.100.100再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就被拒絕服務而只能重新開始建立新的連接。

?? ??7.?smurf攻擊

??? Smurf是一種簡單但有效的DDoS攻擊技術，它利用了ICMP(Internet控制信息協議）。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系，通過發送一個“回音請求”（echorequest）信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續ping一個或多個計算機網絡，這就導致所有計算機所響應的那個計算機并不是實際發送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。

四、常見的DoS攻擊與防護

?? 1. SYN Flood攻擊
????? 原理：
??? 問題就出在TCP連接的三次握手中，假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的 ACK報文的（第三次握手無法完成），這 種情況下服務器端一般會重試（再次發送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數量級（大約為30秒 -2分鐘）；一個用戶出現異常導致服務器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個 非常大的半連接列表而消耗非常 多的資源----數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重 試。實際上如果服務器的TCP/IP棧不夠強大，最 后的結果往往是堆棧溢出崩潰---即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的 正常請求比率非常之小），此時從 正?？蛻舻慕嵌瓤磥?#xff0c;服務器失去響應，這種情況我們稱作：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）。
????? 防范：
??? 第一種是縮短SYN Timeout時間?
??? 第二種方法是設置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄。
?????????? >netstat -n -p tcp >result.txt ??? 2. Smurf攻擊：
?????? 原理：
??? 發送偽裝的ICMP數據包，目的地址設為某個網絡的廣播地址，源地址設為要攻擊的目的主機，使所有收到此ICMP數據包的主機都將對目的主機發出一個回應，使被攻擊主機在某一段時間內收到 成千上萬的數據包
?????? 防范：
???? 在cisco路由器上配置如下可以防止將包傳遞到廣播地址上:
? ? ? ?? Router(config-if)# no ip directed-broadcast ??? 3. Ping of Death
?????? 原理：
???? "ping of death"攻擊就是我們常說的"死亡Ping"
這種攻擊通過發送大于65536字節的ICMP包使操作系統崩潰；通常不可能發送大于65536個字節的ICMP包，但可以把報文分割成片段，然后在目標主機上重組；最終會導致被攻擊目標緩沖區溢出，引起拒絕服務攻擊。有些時候導致telnet和http服務停止，有些時候路由器重啟。 ??? ??? 4. 淚滴攻擊
?????? 原理：
???? 對于一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個6000字節的IP包，在MTU為2000的鏈路上傳輸的時候，就需要分成3個IP 包。在IP報頭中有一個偏移字段和一個拆分標志（MF）。如果MF標志設置為1，則表示這個IP包是一個大IP包的片段，其中偏移字段指出了這個片段在整 個IP包中的位置。例如，對一個6000字 節的IP包進行拆分（MTU為2 000），則3個片段中偏移字段的值依次為0，2000，4000。這樣接收端在全部接收完IP數據包后，就可以根據這些信息重新組裝這幾個分次接收的拆分IP包。在這 里就有一個安全漏洞可以利用了，就是如果黑客們在截取IP數據包后，把偏移字段設置成不正確的值，這樣接收端在收到這些分拆的數據包后，就不能按數據包中 的偏移字段值正確組合這些拆 分的數據包，但接收端會不斷嘗試，這樣就可能致使目標計算機操作系統因資源耗盡而崩潰。 ???? 5. DRDOS
??????? 原理：
??? 攻擊時，攻擊者巧妙的利用了反彈服務器群來將洪 水數據包反彈給目標主機 反彈服務是指某些服務器在收到一個請求數據報后就會產生一個回應數據報。所有的 Web 服務器、DNS 服務器及路 由器都是反彈服務器，他們會對 SYN 報文或其他 TCP 報文回應 SYNACKs 或 RST 報文， 以及對一些 IP 報文回應 ICMP 數據報超時或目的地不可達消息的數據 報。任何用于普通目的 TCP 連 接許可的網絡服務器都可以用做數據包反射服務器

轉載于:https://www.cnblogs.com/davidwang456/p/3590846.html

總結

以上是生活随笔為你收集整理的DOS攻击之详解--转载的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。