DoS攻击简述

DoS攻击由于攻击 。对它的总体了解，成为有

简单、容易达到目的、难于防止 效避免，查找原因，制订对策提

和追查越来越成为常见的攻击方式 供有用的帮助。

 

DoS（Denial of S 提供服务的攻击。这种攻击 交通堵塞等等，最终的结果 们这里比较关心远程的，通

ervice）拒绝服务攻击广义上可 可能就是泼到你服务器上的一杯 是正常用户不能使用他所需要的 过网络进行的DoS攻击。

以指任何导致你的服务器不能正常 水，或者网线被拔下，或者网络的 服务了，不论本地或者是远程。我

 

网络应用的普及使 大的提高了我们工作的效率 看银行帐户；我们上网交友 个DNS服务器或者路由器、 种攻击方式如何远程达到Do

我们的工作生活越来越离不开网 ；通过网络可以找到各种工作、 娱乐。DoS攻击直接的后果可能 防火墙的攻击甚至导致对整个网 S的目的。

络。CRM、ERP、办公自动化软件极 学习资料；我们上网交电话费，查 就是你不能访问这些服务了，对某 络的拒绝服务。下面，就来看看这

 

　　　　具体DoS攻击方法很多，但大多都可以分为以下几类：                        

 

　　利用软件实现的缺陷                                                            

 

OOB攻击（常用工具winnuke）， bonk.c），land攻击，IGMP碎片包攻击， 远程拒绝服务攻击等等，这些攻击都是利 常这些攻击工具向被攻击系统发送特定类 般都是一击致死，而且很多攻击是可以伪 记录到攻击报文也不能找到谁发动的攻击 短暂的少量的报文，如果伪造源IP地址的

teardrop攻击（常用工具teardrop.c boink.c jolt攻击，Cisco 2600路由器IOS version 12.0(10) 用了被攻击软件的实现上的缺陷完成DoS攻击的。通 型的一个或多个报文，这些攻击通常都是致命的，一 造源地址的，所以即使通过IDS或者别的sniffer软件 ，而且此类型的攻击多是特定类型的几个报文，非常 话，使追查工作几乎是不可能。

 

那么如何造成这些攻击的？通常 有处理，导致软件遇到这种类型的报文运 几个具体实例解释一下这种攻击的成因。

是软件开发过程中对某种特定类型的报文、或请求没 行出现异常，导致软件崩溃甚至系统崩溃。下面结合

 

1997年5月7号有人 ，然后发送TCP紧急数据， 所以winnuke.c使用了该端 该是TCP紧急数据攻击。

发布了一个winnuke.c。首先建 导致对端系统崩溃。139/TCP是W 口。之所以称呼这种攻击为OOB

立一条到Win95/NT主机的TCP连接 in95/NT系统最常见的侦听端口， 攻击，因为MSG_OOB标志，实际应

 

原始teardrop.c只构造了两种碎 送次数，将完全重复先前所发送出去的两 击，影响的系统包括Linux/WinNT/Win95

片包，每次同时发送这两种UDP碎片包。如果指定发 种碎片包。它可以伪造源ip并跨越路由器进行远程攻 。使用的方法是：

 

teardrop 源ip 目

的ip [-s 源端口] [-d 目的端

口] [-n 次数]

 

比较新的一个DoS 匿名连接的windows系统就 法就是先和目标系统建立一 试工具SMBdie.exe是图形界

攻击是Windows的SMB实现中的Do 可以进行远程攻击，强烈建议Wi 个连接，然后发送一个特定的请 面工具，输入目标地址NETBIOS

S攻击，2002年8月发布，只要允许 ndows用户打相应的补丁。它的方 求，目标系统就会兰屏。发布的测 名称即可。

 

从上面的讨论可以 危害仅现于漏洞发布后的不 提到的几种较老的攻击在现 而栗，我们可以做的就是关 专业安全服务公司的相关服

看出，这种攻击行为威力很大， 长的时间段内，相关厂商会很快 实的环境中，通常是无效的。不 注安全漏洞的发布，及时打上新 务应该是个更好的选择。

而且难于侦察。但真实情况下它的 发布补丁修补这种漏洞。所以上面 过最新的攻击方法还是让我们不寒 的补丁。如果你想偷懒的话，购买

 

　　　　利用协议的漏洞                                                            

 

如果说上面那种漏洞危害的时间 能够在网络上进行互通、互联，所有的软 漏洞的话，所有遵循此协议的软件都会受

不是很长，那么这种攻击的生存能力却非常强。为了 件实现都必须遵循既有的协议，而如果这种协议存在 到影响。

 

最经典的攻击是synflood攻击， 接的建立包括3个步骤，客户端发送SYN包 回SYN/ACK包，并等待连接建立的最后的A 接建立起来，并可以通过连接传送数据了 报文，服务器占用过多资源，而导致系统 应正常的网络请求。

它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连 给服务器端，服务器分配一定的资源给这里连接并返 CK包，最后客户端发送ACK报文，这样两者之间的连 。而攻击的过程就是疯狂发送SYN报文，而不返回ACK 资源占用过多，没有能力响应别的操作，或者不能响

 

这个攻击是经典的 Linux系统大约能发到30－4 本没有任何响应了（包括鼠 地址，给追查造成很大困难

以小搏大的攻击，自己使用少量 0M的64字节的synflood报文，而 标、键盘）。而且synflood不仅 ，要查找必须所有骨干网络运营

资源占用对方大量资源。一台P4的 一台普通的服务器20M的流量就基 可以远程进行，而且可以伪造源IP 商，一级一级路由器的向上查找。

 

对于伪造源IP的sy 者都配合查找，否则很难追 限，包括国外的硬件防火墙 )，这里涉及到它们对小报 厂商认识到DoS攻击的危害

nflood攻击，除非攻击者和被攻 查。当前一些防火墙产品声称有 大多100M防火墙的抗synflood的 文的转发能力，再大的流量甚至 ，开始研发专用的抗拒绝服务产

击的系统之间所有的路由器的管理 抗DoS的能力，但通常他们能力有 能力只有20－30Mbps(64字节syn包 能把防火墙打死机。现在有些安全 品，让我们拭目以待吧！

 

由于TCP/IP协议相信报文的源地 利用还有广播地址，和组播协议辅助反射 播地址和组播协议的地址。

址，另一种攻击方式是反射拒绝服务攻击，另外可以 拒绝服务攻击效果更好。不过大多数路由器都禁止广

 

另一类攻击方式是 源，导致正常服务请求不能 请求耗费大量服务器资源， 常的源IP地址，禁止这些IP

使用大量符合协议的正常服务请 成功。如HTTP协议是无状态协议 导致DoS。这种方式攻击比较好 就可以了。

求，由于每个请求耗费很大系统资 ，攻击者构造大量搜索请求，这些 处理，由于是正常请求，暴露了正

 

　　进行资源比拼                                                                  

 

　　　                                                                           

 

这种攻击方式属于 你的资源，导致DoS。比如 目标系统更多资源，通常攻 多个攻击傀儡发动攻击，这 是非常困难，第3种攻击由 这些IP就可以了。对于难于

无赖打法，我凭借着手中的资源 ，ICMP flood，mstream flood 击者会发动DDoS（Distributed 样才能产生预期的效果。前两类 于需要建立连接，可能会暴露攻 追查，禁止的攻击行为，我们只

丰富，发送大量的垃圾数据侵占完 ，Connection flood。为了获得比 Dos 分布式拒绝服务）攻击者控制 攻击是可以伪造IP地址的，追查也 击傀儡的IP地址，通过防火墙禁止 能期望专用的抗拒绝服务产品了。

 

通过上面的分析，对DoS的攻击 理提供基本的概念。

有了简单的印象，希望为以后遇到攻击进行相关的处