拒絕服務（通常縮寫為DoS）是對網絡的惡意攻擊。這種類型的攻擊本質上旨在通過用無用的流量淹沒網絡來使網絡癱瘓。許多 DoS 攻擊是通過利用TCP/IP 協議中的限制來進行的。

黑客使用 DoS 攻擊來阻止對計算機網絡資源的合法使用。DoS 攻擊的特點是試圖淹沒網絡、試圖中斷兩臺計算機之間的連接、試圖阻止個人訪問服務或試圖中斷對特定系統或個人的服務。那些在 DoS 攻擊的接收端的人可能會失去寶貴的資源，例如他們的電子郵件服務、互聯網訪問或他們的Web 服務器。某些 DoS 攻擊可能會耗盡您的所有帶寬，甚至耗盡所有系統資源，例如服務器內存。我們在過去幾年中看到的一些最壞情況是網站，由于成功的 DoS 攻擊而被數百萬人使用，被迫停止運營。

DoS 攻擊很可能看起來是系統或網絡上的合法流量，但不同之處在于流量的數量和頻率將增加到無法管理的水平。例如，對 Web 服務器的攻擊不會是正常的訪問者激增，而是在附近的大量點擊，因此服務器無法跟上龐大的頁面請求量。在郵件服務器上，可以在短時間內將數十萬條消息發送到服務器，而服務器通常在同一時間段內只能處理不到一千條消息。目標服務器很可能會因 DoS 攻擊而停止，因為它已用完交換空間、進程空間或網絡連接。

雖然 DoS 攻擊通常不會導致信息被盜或對公司造成任何安全損失，但它們可能會在網絡服務中斷時花費組織的時間和金錢。對于黑客（或經常使用 DoS 攻擊的腳本小子）來說，DoS 攻擊通常致力于向他們的同行或在線社區證明其黑客技能。

早期的 DoS 攻擊包括從單一來源生成數據包的簡單工具，然后針對單一目的地進行攻擊。然而，DoS 攻擊的演變現在看到針對多個目標的單源攻擊、針對單個目標的多源攻擊以及針對多個目標的多源攻擊。

常見的拒絕服務攻擊

緩沖區溢出

傳輸到緩沖區的數據超出緩沖區的存儲容量并且部分數據溢出的情況。到另一個緩沖區，數據不打算進入的緩沖區。由于緩沖區只能保存特定數量的數據，因此當達到該容量時，數據必須流向其他地方，通常流入另一個緩沖區，這可能會破壞該緩沖區中已經包含的數據。惡意黑客可以發起緩沖區溢出攻擊，其中帶有破壞系統指令的數據被故意寫入文件，完全知道數據將溢出緩沖區并將指令釋放到計算機的指令中。

Ping of Death

一種DoS 攻擊，其中攻擊者發送大于 65,536字節的ping請求，這是IP允許的最大大小。雖然大于 65,536 字節的 ping 太大而無法容納在一個可以傳輸的數據包中，但TCP/IP允許對數據包進行分段，實質上是將數據包分成更小的段，最終重新組合。攻擊利用此缺陷對數據包進行分段，當接收到的數據包總數超過允許的字節數時，會有效地導致接收端操作系統的緩沖區過載，從而使系統崩潰。

藍精靈攻擊

一種網絡安全漏洞，其中連接到Internet的網絡充斥著對ICMP回顯 ( PING ) 請求的回復。smurf 攻擊者向 Internet廣播地址發送 PING 請求。這些是向連接到子網的主機廣播所有接收到的消息的特殊地址。每個廣播地址最多可以支持 255 臺主機，因此單個 PING 請求可以乘以 255 倍。請求本身的返回地址被欺騙成為攻擊者受害者的地址。所有收到 PING 請求的主機都回復這個受害者的地址，而不是真正的發送者地址。單個攻擊者每秒發送成百上千條這樣的 PING 消息可以使受害者的T-1（甚至T-3）線路充滿 ping 回復，使整個 Internet 服務陷入癱瘓。

TCP SYN 攻擊

在SYN 攻擊中，發送者傳輸了大量無法完成的連接。這會導致連接隊列被填滿，從而拒絕為合法TCP用戶提供服務。

Teardrop

Teardrop是一種 DoS 攻擊，當接收主機嘗試重新組裝碎片數據包時，它們會被偽造為彼此重疊。

分布式拒絕服務攻擊 (DDOS)

在 2001 年初及前后，一種新型 DoS 攻擊變得猖獗，稱為分布式拒絕服務攻擊或 DDoS。在這種情況下，使用多個包含的系統來攻擊單個目標。流入目標的大量流量通常會迫使其關閉。與 DoS 攻擊一樣，在 DDoS 攻擊中，對受影響系統的合法請求被拒絕。由于 DDoS 攻擊是從多個來源發起的，因此它通常比 DoS 攻擊更難檢測和阻止。

預防措施

為了防止您的系統和網絡成為 DoS 攻擊的受害者，CERT/CC 提供了許多預防性解決方案，其中包括：

• 實施路由器過濾器。這將減少您遭受某些拒絕服務攻擊的風險。
• 如果它們可用于您的系統，請安裝補丁以防止 TCP SYN 泛濫。
• 禁用任何未使用或不需要的網絡服務。這可能會限制入侵者利用這些服務執行拒絕服務攻擊的能力。
• 如果可用，請在您的操作系統上啟用配額系統。
• 觀察您的系統性能并為日常活動建立基線。使用基線來衡量磁盤活動、CPU 使用率或網絡流量的異常水平。
• 根據您當前的需求，定期檢查您的人身安全。
• 使用 Tripwire 或類似工具來檢測配置信息或其他文件的更改。
• 投資并維護“熱備件”——在類似機器被禁用的情況下可以快速投入使用的機器。
• 投資冗余和容錯網絡配置。
• 建立并維護定期備份計劃和策略，尤其是重要的配置信息。
• 建立并維護適當的密碼策略，尤其是對 UNIX root 或 Microsoft Windows NT 管理員等高特權帳戶的訪問。