拒绝服务攻击的几种方式

引言

上次我们讲完了端口扫描的具体的几种实现方式，今天将来了解拒绝服务攻击的几种方式。

拒绝服务攻击：

拒绝服务攻击是指攻击者利用系统的缺陷，执行一些恶意的操作，使得合法的系统用户不能及时得到应得的服务或系统资源，如CPU处理时间、存储器、网络带宽等。拒绝服务攻击往往造成计算机或网络无法正常工作，进而会使一个依赖于计算机或网络服务的企业不能正常运转。拒绝服务攻击最本质的特征是延长服务等待时间。当服务等待时间超过某个阈值时，用户因无法忍耐而放弃服务。拒绝服务攻击延迟或者阻碍合法的用户使用系统提供的服务，对关键性和实时性服务造成的影响最大。拒绝服务攻击与其他的攻击方法相比较，具有以下特点∶①难确认性，拒绝服务攻击很难判断，用户在自己的服务得不到及时响应时，并不认为自己（或者系统）受到攻击，反而可能认为是系统故障造成一时的服务失效。②隐蔽性，正常请求服务隐藏拒绝服务攻击的过程。③资源有限性，由于计算机资源有限，容易实现拒绝服务攻击。④软件复杂性，由于软件所固有的复杂性，设计实现难以确保软件没有缺陷。因而攻击者有机可乘，可以直接利用软件缺陷进行拒绝服务攻击，例如泪滴攻击。

1同步包风暴（SYN Flood）

攻击者假造源网址（Source IP）发送多个同步数据包（Syn Packet）给服务器（Server），服务器因无法收到确认数据包（Ack Packet），使 TCP/IP协议的三次握手（Three-Way Hand-Shacking）无法顺利完成，因而无法建立连接。其原理是发送大量半连接状态的服务请求，使 Unix 等服务主机无法处理正常的连接请求，因而影响正常运作。

UDP洪水（UDP Flood）

利用简单的TCP/IP服务，如用Chargen和Echo传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen 服务之间的一次UDP连接，回复地址指向开放Echo服务的一台主机，生成在两台主机之间的足够多的无用数据流。

Smurf攻击

一种简单的Smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求作出应答，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf攻击是将源地址改为第三方的目标网络，最终导致第三方网络阻塞。

垃圾邮件

攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹（mail bomb）程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。

消耗 CPU和内存资源的拒绝服务攻击

利用目标系统的计算算法漏洞，构造恶意输入数据集，导致目标系统的CPU或内存资源耗尽，从而使目标系统瘫痪，如 Hash DoS。

死亡之 ping（ping of death）

早期，路由器对包的最大尺寸都有限制，许多操作系统在实现 TCP/IP堆栈时，规定ICMP 包小于等于64KB，并且在对包的标题头进行读取之后，要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过ICMP上限的包，即加载的尺寸超过64KB上限时，就会出现内存分配错误，导致 TCP/IP堆栈崩溃，使接收方停机。

泪滴攻击（TeardropAttack）

泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络中传输时，会被分解成许多不同的片传送，并借由偏移量字段（Offset Field）作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

分布式拒绝服务攻击（Distributed Denial of Service Attack）

分布式拒绝服务攻击是指植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机，所以攻击者可同时对已控制的代理攻击主机激活干扰命令，对受害主机大量攻击。分布式拒绝服务攻击程序，最著名的有Trinoo、TFN、TFN2K和Stacheldraht 四种。 * DDoS 攻击
DDoS是分布式拒绝服务攻击的简称。2000年春季黑客利用分布式拒绝服务攻击（DDoS）大型网站，导致大型ISP服务机构Yahoo0的网络服务瘫痪。攻击者为了提高拒绝服务攻击的成功率，需要控制成百上千的被入侵主机。DDoS的整个攻击过程可以分为以下五个步骤∶
 第一步，通过探测扫描大量主机，寻找可以进行攻击的目标; 第二步，攻击有安全漏洞的主机，并设法获取控制权; 第三步，在已攻击成功的主机中安装客户端攻击程序; 第四步，利用已攻击成功的主机继续进行扫描和攻击; 第五步，当攻击客户端达到一定的数目后，攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令。

总结：

从分布式拒绝服务攻击的案例来看，攻击者进行大型或复杂的攻击之前，需要利用已攻击成功的主机，时机成熟后再向最终的目标发起攻击。从这一点上来说，大型或复杂的攻击并不能一步到位，而是经过若干个攻击操作步骤后，才能实现最终的攻击意图。DDoS常用的攻击技术手段有HTTP Flood攻击、SYNFlood攻击、DNS放大攻击等。其中，HTTP Flood攻击是利用僵尸主机向特定目标网站发送大量的HTTPGET请求，以导致网站瘫痪，如图2-4所示。 *HTTP Flood攻击是利用僵尸主机向特定目标网站发送大量的HTTPGET请求，以导致网站瘫痪。 *SYN Flood攻击利用TCPIP协议的安全缺陷，伪造主机发送大量的SYN 包到目标系统，导致目标系统的计算机网络瘫痪。 *DNS放大攻击是攻击者假冒目标系统向多个DNS解析服务器发送大量请求，而导致DNS 解析服务器同时应答目标系统，产生大量网络流量，形成拒绝服务。