网络攻击之DoS攻击

班级：

学号：

姓名：

邮件地址： 

摘要：拒绝服务攻击，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，使正常的用户请求得不到应答，以实现攻击目的。由于DoS攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变的事实，DoS也就成为了流传最广、最难防范的攻击方式。本文概括了介绍了有关DoS攻击的基本知识，让我们对DoS的攻击有了简单的印象，希望为以后遇到攻击进行相关的处理提供基本的概念。

关键字： 网络攻击  DoS攻击 防范DoS攻击  原理

                        Denial of Service Attacks

abstract：Denial of service attacks, usually is take consumes the server end resources as the goal, through forge surpasses the server handling ability the request data to create server response blocking, causes the normal user to request not to be able to obtain the reply, realizes the attack goal. Because DoS attacks tool's being in flood, and aims at protocol layer's flaw short-time was unable the fact which changed, DoS has also become the forms of defensive action which spread is broadest difficultly, to guard against. This article summarized introduced the related DoS attack's elementary knowledge, let us the attack have the simple impression to DoS, hoped that will meet the attack for later to carry on related processing to provide the basic concept.

Keywords：network attacks  DoS attacks  restrain DoS attacks  theory

任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。黑客进行的网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。 

拒绝服务（Denial of service，DoS）攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单，但又很有效的进攻方式。它的目的就是拒绝用户的服务访问，破坏组织的正常运行，最终使网络连接堵塞，或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。这类攻击和其他大部分攻击不同的是，因为他们不是以获得网络或网络上信息的访问权为目的，而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃，不能为其他正常用户提供服务为目标。这就是这类攻击被称之为“拒绝服务攻击”的真正原因。

攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求;二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

常见的DoS攻击主要有以下几种类型。

（1）SYN 洪水（SYN flood）攻击

TCP/IP栈只能等待有限数量的ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接（SYN）请求。目标系统在接收到请求后发送确认信息，并等待回答。由于黑客们发送请求的IP地址是伪造的，所以确认信息也不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前，目标计算机系统是不会主动放弃的，继续会在缓冲区中保持相应连接信息，一直等待。当等待连接达到一定数量后，缓冲区资源耗尽，从而开始拒绝接收任何其他连接请求，当然也包括本来属于正常应用的请求。

（2）死亡之ping（Ping of Death）攻击

     Ping程序通过发送一个请求信息包来查看主机目标是否存在。而在TCP/IP中对包的最大尺寸都有严格的规定，许多操作系统的TCP/IP栈都规定ICMp包大小为KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。Ping of Death就是故意产生畸形的测试ping包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过KB上限，使未采取保护措施的网络系统出现内存分配作物，导致TCP/IP栈崩溃，最终使接受方死机。

（3）Land（Land Attack）攻击

攻击者不断地向被攻击的计算机发送具有IP 源地址和IP目的地址完全一样， TCP 源端口和目的端口也完全一样的的伪造 TCP SYN 包，导致该计算机系统向自己发送响应信息，最后被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。

（4）泪滴（teardrop）攻击

泪滴攻击利用修改在TCP/IP堆栈中IP碎片的包的标题头，所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息？某些操作系统（如SP4以前的Windows NT 4.0）的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃。

（5）UDP洪水攻击

各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

（6）DDoS攻击

     DDoS，Distributed Denial of Service，分布式拒绝服务，它是基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击。处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。这种攻击大多数是由黑客非法控制的电脑实施的。

（7）IP欺骗DoS攻击

这种攻击利用TCP栈的RST位来实现，使用IP欺骗，迫使服务器把合法用户的链接抚慰，影响合法用户的链接。

（8）电子邮件攻击

此种攻击时最古老的匿名攻击之一，通过设置一台机器不断地大量的向同一地址发送电子邮件，攻击者能够耗尽结婚搜着网络的带宽。

在工作生活中，我们可以从以下一些方面预防黑客的网络攻击： 

　　1．有足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。 

　　2．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。 

　　3．使用Inexpress、Express Forwarding过滤不必要的服务和端口，即在路由器上过滤假IP。 

　　4．使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 

　　5．过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。 

　　6．SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。

参考文献：

   袁津生、齐建东、曹佳等，《计算机安全基础》，人民邮电出版社，2008年