拒絕服務攻擊的幾種方式

引言

上次我們講完了端口掃描的具體的幾種實現方式，今天將來了解拒絕服務攻擊的幾種方式。

拒絕服務攻擊：

拒絕服務攻擊是指攻擊者利用系統的缺陷，執行一些惡意的操作，使得合法的系統用戶不能及時得到應得的服務或系統資源，如CPU處理時間、存儲器、網絡帶寬等。拒絕服務攻擊往往造成計算機或網絡無法正常工作，進而會使一個依賴於計算機或網絡服務的企業不能正常運轉。拒絕服務攻擊最本質的特征是延長服務等待時間。當服務等待時間超過某個閾值時，用戶因無法忍耐而放棄服務。拒絕服務攻擊延遲或者阻礙合法的用戶使用系統提供的服務，對關鍵性和實時性服務造成的影響最大。拒絕服務攻擊與其他的攻擊方法相比較，具有以下特點∶①難確認性，拒絕服務攻擊很難判斷，用戶在自己的服務得不到及時響應時，並不認為自己（或者系統）受到攻擊，反而可能認為是系統故障造成一時的服務失效。②隱蔽性，正常請求服務隱藏拒絕服務攻擊的過程。③資源有限性，由於計算機資源有限，容易實現拒絕服務攻擊。④軟件復雜性，由於軟件所固有的復雜性，設計實現難以確保軟件沒有缺陷。因而攻擊者有機可乘，可以直接利用軟件缺陷進行拒絕服務攻擊，例如淚滴攻擊。

1同步包風暴（SYN Flood）

攻擊者假造源網址（Source IP）發送多個同步數據包（Syn Packet）給服務器（Server），服務器因無法收到確認數據包（Ack Packet），使 TCP/IP協議的三次握手（Three-Way Hand-Shacking）無法順利完成，因而無法建立連接。其原理是發送大量半連接狀態的服務請求，使 Unix 等服務主機無法處理正常的連接請求，因而影響正常運作。

UDP洪水（UDP Flood）

利用簡單的TCP/IP服務，如用Chargen和Echo傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen 服務之間的一次UDP連接，回復地址指向開放Echo服務的一台主機，生成在兩台主機之間的足夠多的無用數據流。

Smurf攻擊

一種簡單的Smurf攻擊是將回復地址設置成目標網絡廣播地址的ICMP應答請求數據包，使該網絡的所有主機都對此ICMP應答請求作出應答，導致網絡阻塞，比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf攻擊是將源地址改為第三方的目標網絡，最終導致第三方網絡阻塞。

垃圾郵件

攻擊者利用郵件系統制造垃圾信息，甚至通過專門的郵件炸彈（mail bomb）程序給受害用戶的信箱發送垃圾信息，耗盡用戶信箱的磁盤空間，使用戶無法應用這個信箱。

消耗 CPU和內存資源的拒絕服務攻擊

利用目標系統的計算算法漏洞，構造惡意輸入數據集，導致目標系統的CPU或內存資源耗盡，從而使目標系統癱瘓，如 Hash DoS。

死亡之 ping（ping of death）

早期，路由器對包的最大尺寸都有限制，許多操作系統在實現 TCP/IP堆棧時，規定ICMP 包小於等於64KB，並且在對包的標題頭進行讀取之后，要根據該標題頭中包含的信息為有效載荷生成緩沖區。當產生畸形的、尺寸超過ICMP上限的包，即加載的尺寸超過64KB上限時，就會出現內存分配錯誤，導致 TCP/IP堆棧崩潰，使接收方停機。

淚滴攻擊（TeardropAttack）

淚滴攻擊暴露出IP數據包分解與重組的弱點。當IP數據包在網絡中傳輸時，會被分解成許多不同的片傳送，並借由偏移量字段（Offset Field）作為重組的依據。淚滴攻擊通過加入過多或不必要的偏移量字段，使計算機系統重組錯亂，產生不可預期的后果。

分布式拒絕服務攻擊（Distributed Denial of Service Attack）

分布式拒絕服務攻擊是指植入后門程序從遠程遙控攻擊，攻擊者從多個已入侵的跳板主機控制數個代理攻擊主機，所以攻擊者可同時對已控制的代理攻擊主機激活干擾命令，對受害主機大量攻擊。分布式拒絕服務攻擊程序，最著名的有Trinoo、TFN、TFN2K和Stacheldraht 四種。 * DDoS 攻擊
DDoS是分布式拒絕服務攻擊的簡稱。2000年春季黑客利用分布式拒絕服務攻擊（DDoS）大型網站，導致大型ISP服務機構Yahoo0的網絡服務癱瘓。攻擊者為了提高拒絕服務攻擊的成功率，需要控制成百上千的被入侵主機。DDoS的整個攻擊過程可以分為以下五個步驟∶
 第一步，通過探測掃描大量主機，尋找可以進行攻擊的目標; 第二步，攻擊有安全漏洞的主機，並設法獲取控制權; 第三步，在已攻擊成功的主機中安裝客戶端攻擊程序; 第四步，利用已攻擊成功的主機繼續進行掃描和攻擊; 第五步，當攻擊客戶端達到一定的數目后，攻擊者在主控端給客戶端攻擊程序發布向特定目標進行攻擊的命令。

總結：

從分布式拒絕服務攻擊的案例來看，攻擊者進行大型或復雜的攻擊之前，需要利用已攻擊成功的主機，時機成熟后再向最終的目標發起攻擊。從這一點上來說，大型或復雜的攻擊並不能一步到位，而是經過若干個攻擊操作步驟后，才能實現最終的攻擊意圖。DDoS常用的攻擊技術手段有HTTP Flood攻擊、SYNFlood攻擊、DNS放大攻擊等。其中，HTTP Flood攻擊是利用僵屍主機向特定目標網站發送大量的HTTPGET請求，以導致網站癱瘓，如圖2-4所示。 *HTTP Flood攻擊是利用僵屍主機向特定目標網站發送大量的HTTPGET請求，以導致網站癱瘓。 *SYN Flood攻擊利用TCPIP協議的安全缺陷，偽造主機發送大量的SYN 包到目標系統，導致目標系統的計算機網絡癱瘓。 *DNS放大攻擊是攻擊者假冒目標系統向多個DNS解析服務器發送大量請求，而導致DNS 解析服務器同時應答目標系統，產生大量網絡流量，形成拒絕服務。