DoS：我們所說的DoS (Denial of Service)攻擊其中文含義是拒絕服務(wù)攻擊，這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。黑客不正當(dāng)?shù)夭捎脴?biāo)準(zhǔn)協(xié)議或連接方法，向攻擊的服務(wù)發(fā)出大量的訊息，占用及超越受攻擊服務(wù)器所能處理的能力，使它當(dāng)(Down)機(jī)或不能正常地為用戶服務(wù)。

“拒絕服務(wù)”是如何攻擊的通過普通的網(wǎng)絡(luò)連線，使用者傳送信息要求服務(wù)器予以確定。服務(wù)器于是回復(fù)用戶。用戶被確定后，就可登入服務(wù)器。 “拒絕服務(wù)”的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址，以至于當(dāng)服務(wù)器試圖回傳時(shí)，卻無法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。服務(wù)器切斷連接時(shí)，黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過程周而復(fù)始，最終導(dǎo)致服務(wù)器無法動(dòng)彈，癱瘓?jiān)诘亍?

在這些 DoS 攻擊方法中，又可以分為下列幾種：

TCP SYN Flooding

Smurf

Fraggle

1.TCP Syn Flooding

由于TCP協(xié)議連接三次握手的需要，在每個(gè)TCP建立連接時(shí)，都要發(fā)送一個(gè)帶SYN標(biāo)記的數(shù)據(jù)包，如果在服務(wù)器端發(fā)送應(yīng)答包后，客戶端不發(fā)出確認(rèn)，服務(wù)器會(huì)等待到數(shù)據(jù)超時(shí)，如果大量的帶SYN標(biāo)記的數(shù)據(jù)包發(fā)到服務(wù)器端后都沒有應(yīng)答，會(huì)使服務(wù)器端的TCP資源迅速枯竭，導(dǎo)致正常的連接不能進(jìn)入，甚至?xí)��?dǎo)致服務(wù)器的系統(tǒng)崩潰。這就是TCP

SYN Flooding攻擊的過程。

TCP Syn 攻擊是由受控制的大量客戶發(fā)出 TCP 請(qǐng)求但不作回復(fù)，使服務(wù)器資源被占用，再也無法正常為用戶服務(wù)。服務(wù)器要等待超時(shí)(Time

Out)才能斷開已分配的資源。

2.Smurf黑客采用 ICMP(Internet Control Message Protocol RFC792)技術(shù)進(jìn)行攻擊

常用的ICMP有 PING 。首先黑客找出網(wǎng)絡(luò)上有哪些路由器會(huì)回應(yīng) ICMP 請(qǐng)求。然后用一個(gè)虛假的 IP 源地址向路由器的廣播地址發(fā)出訊息，路由器會(huì)把這訊息廣播到網(wǎng)絡(luò)上所連接的每一臺(tái)設(shè)備。這些設(shè)備又馬上回應(yīng)，這樣會(huì)產(chǎn)生大量訊息流量，從而占用所有設(shè)備的資源及網(wǎng)絡(luò)帶寬，而回應(yīng)的地址就是受攻擊的目標(biāo)。例如用500K bit/sec 流量的 ICMP echo (PING)包廣播到100 臺(tái)設(shè)備，產(chǎn)生 100 個(gè) PING 回應(yīng)，便產(chǎn)生 50M bit/sec流量。這些流量流向被攻擊的服務(wù)器,便會(huì)使這服務(wù)器癱瘓。

ICMP Smurf 的襲擊加深了ICMP的泛濫程度，導(dǎo)致了在一個(gè)數(shù)據(jù)包產(chǎn)生成千的ICMP數(shù)據(jù)包發(fā)送到一個(gè)根本不需要它們的主機(jī)中去，傳輸多重信息包的服務(wù)器用作Smurf 的放大器。

3.Fraggle：Fraggle

基本概念及做法像 Smurf, 但它是采用UDP echo 訊息。

如何阻擋“拒絕服務(wù)”的攻擊

阻擋“拒絕服務(wù)”的攻擊的常用方法之一是：在網(wǎng)絡(luò)上建立一個(gè)過濾器(filter)或偵測(cè)器(sniffer)，在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息。過濾器會(huì)偵察可疑的攻擊行動(dòng)。如果某種可疑行動(dòng)經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對(duì)外連接線路保持暢通。

DDoS：

DDoS(Distributed Denial of Service)其中文含義為分布式拒絕服務(wù)攻擊。

Distributed DoS 是黑客控制一些數(shù)量的PC 機(jī)或路由器，用這些 PC 機(jī)或路由器發(fā)動(dòng) DoS 攻擊。因?yàn)楹诳妥约旱?PC 機(jī)可能不足夠產(chǎn)生出大量的訊息，使遭受攻擊的網(wǎng)絡(luò)服務(wù)器處理能力全部被占用。

黑客采用 IP Spoofing 技術(shù)，令他自己的 IP 地址隱藏，所以很難追查。如果是在 Distributed DoS 情況下，被追查出來的都是被黑客控制的用戶的 IP 地址;他們本身也是受害者。

黑客一般采用一些遠(yuǎn)程控制軟件，好像Trinoo, Tribal Flood Network, Stacheldraht 及其他DoS 程序。美國(guó)政府資助的CERT (Computer Emergency Response Team) 及 FBI都有免費(fèi)軟件如 find_dosv31，給企業(yè)檢查自己的網(wǎng)絡(luò)有沒有被黑客安裝這些遠(yuǎn)程控制軟件。但黑客亦同時(shí)在修改軟件以逃避這些檢查軟件。這是一場(chǎng)持久的網(wǎng)上戰(zhàn)爭(zhēng)。

攻擊者在Client(客戶端)操縱攻擊過程。每個(gè)Handler(主控端)是一臺(tái)已被入侵并運(yùn)行了特定程序的系統(tǒng)主機(jī)。每個(gè)主控端主機(jī)能夠控制多個(gè)Agent(代理端)。每個(gè)代理端也是一臺(tái)已被入侵并運(yùn)行某種特定程序的系統(tǒng)主機(jī)。每個(gè)響應(yīng)攻擊命令的代理端會(huì)向被攻擊目標(biāo)主機(jī)發(fā)送拒絕服務(wù)攻擊數(shù)據(jù)包。

在今后的日子里，這些拒絕服務(wù)工具包將會(huì)得到進(jìn)一步的發(fā)展與完善，功能更強(qiáng)大，隱蔽性更強(qiáng)，關(guān)鍵字符串和控制命令口令將使用更強(qiáng)壯加密算法，甚至對(duì)自身進(jìn)行數(shù)字簽名，或在被非攻擊者自己使用時(shí)自行消毀，使用加密通訊通道，使用象ICMP這種令防火墻更難監(jiān)測(cè)或防御的協(xié)議進(jìn)行數(shù)據(jù)包傳輸，等等。