拒絕服務（通常縮寫為DoS）是對網(wǎng)絡的惡意攻擊。這種類型的攻擊本質(zhì)上旨在通過用無用的流量淹沒網(wǎng)絡來使網(wǎng)絡癱瘓。許多 DoS 攻擊是通過利用TCP/IP 協(xié)議中的限制來進行的。

黑客使用 DoS 攻擊來阻止對計算機網(wǎng)絡資源的合法使用。DoS 攻擊的特點是試圖淹沒網(wǎng)絡、試圖中斷兩臺計算機之間的連接、試圖阻止個人訪問服務或試圖中斷對特定系統(tǒng)或個人的服務。那些在 DoS 攻擊的接收端的人可能會失去寶貴的資源，例如他們的電子郵件服務、互聯(lián)網(wǎng)訪問或他們的Web 服務器。某些 DoS 攻擊可能會耗盡您的所有帶寬，甚至耗盡所有系統(tǒng)資源，例如服務器內(nèi)存。我們在過去幾年中看到的一些最壞情況是網(wǎng)站，由于成功的 DoS 攻擊而被數(shù)百萬人使用，被迫停止運營。

DoS 攻擊很可能看起來是系統(tǒng)或網(wǎng)絡上的合法流量，但不同之處在于流量的數(shù)量和頻率將增加到無法管理的水平。例如，對 Web 服務器的攻擊不會是正常的訪問者激增，而是在附近的大量點擊，因此服務器無法跟上龐大的頁面請求量。在郵件服務器上，可以在短時間內(nèi)將數(shù)十萬條消息發(fā)送到服務器，而服務器通常在同一時間段內(nèi)只能處理不到一千條消息。目標服務器很可能會因 DoS 攻擊而停止，因為它已用完交換空間、進程空間或網(wǎng)絡連接。

雖然 DoS 攻擊通常不會導致信息被盜或對公司造成任何安全損失，但它們可能會在網(wǎng)絡服務中斷時花費組織的時間和金錢。對于黑客（或經(jīng)常使用 DoS 攻擊的腳本小子）來說，DoS 攻擊通常致力于向他們的同行或在線社區(qū)證明其黑客技能。

早期的 DoS 攻擊包括從單一來源生成數(shù)據(jù)包的簡單工具，然后針對單一目的地進行攻擊。然而，DoS 攻擊的演變現(xiàn)在看到針對多個目標的單源攻擊、針對單個目標的多源攻擊以及針對多個目標的多源攻擊。

常見的拒絕服務攻擊

緩沖區(qū)溢出

傳輸?shù)骄彌_區(qū)的數(shù)據(jù)超出緩沖區(qū)的存儲容量并且部分數(shù)據(jù)溢出的情況。到另一個緩沖區(qū)，數(shù)據(jù)不打算進入的緩沖區(qū)。由于緩沖區(qū)只能保存特定數(shù)量的數(shù)據(jù)，因此當達到該容量時，數(shù)據(jù)必須流向其他地方，通常流入另一個緩沖區(qū)，這可能會破壞該緩沖區(qū)中已經(jīng)包含的數(shù)據(jù)。惡意黑客可以發(fā)起緩沖區(qū)溢出攻擊，其中帶有破壞系統(tǒng)指令的數(shù)據(jù)被故意寫入文件，完全知道數(shù)據(jù)將溢出緩沖區(qū)并將指令釋放到計算機的指令中。

Ping of Death

一種DoS 攻擊，其中攻擊者發(fā)送大于 65,536字節(jié)的ping請求，這是IP允許的最大大小。雖然大于 65,536 字節(jié)的 ping 太大而無法容納在一個可以傳輸?shù)臄?shù)據(jù)包中，但TCP/IP允許對數(shù)據(jù)包進行分段，實質(zhì)上是將數(shù)據(jù)包分成更小的段，最終重新組合。攻擊利用此缺陷對數(shù)據(jù)包進行分段，當接收到的數(shù)據(jù)包總數(shù)超過允許的字節(jié)數(shù)時，會有效地導致接收端操作系統(tǒng)的緩沖區(qū)過載，從而使系統(tǒng)崩潰。

藍精靈攻擊

一種網(wǎng)絡安全漏洞，其中連接到Internet的網(wǎng)絡充斥著對ICMP回顯 ( PING ) 請求的回復。smurf 攻擊者向 Internet廣播地址發(fā)送 PING 請求。這些是向連接到子網(wǎng)的主機廣播所有接收到的消息的特殊地址。每個廣播地址最多可以支持 255 臺主機，因此單個 PING 請求可以乘以 255 倍。請求本身的返回地址被欺騙成為攻擊者受害者的地址。所有收到 PING 請求的主機都回復這個受害者的地址，而不是真正的發(fā)送者地址。單個攻擊者每秒發(fā)送成百上千條這樣的 PING 消息可以使受害者的T-1（甚至T-3）線路充滿 ping 回復，使整個 Internet 服務陷入癱瘓。

TCP SYN 攻擊

在SYN 攻擊中，發(fā)送者傳輸了大量無法完成的連接。這會導致連接隊列被填滿，從而拒絕為合法TCP用戶提供服務。

Teardrop

Teardrop是一種 DoS 攻擊，當接收主機嘗試重新組裝碎片數(shù)據(jù)包時，它們會被偽造為彼此重疊。

分布式拒絕服務攻擊 (DDOS)

在 2001 年初及前后，一種新型 DoS 攻擊變得猖獗，稱為分布式拒絕服務攻擊或 DDoS。在這種情況下，使用多個包含的系統(tǒng)來攻擊單個目標。流入目標的大量流量通常會迫使其關閉。與 DoS 攻擊一樣，在 DDoS 攻擊中，對受影響系統(tǒng)的合法請求被拒絕。由于 DDoS 攻擊是從多個來源發(fā)起的，因此它通常比 DoS 攻擊更難檢測和阻止。

預防措施

為了防止您的系統(tǒng)和網(wǎng)絡成為 DoS 攻擊的受害者，CERT/CC 提供了許多預防性解決方案，其中包括：

• 實施路由器過濾器。這將減少您遭受某些拒絕服務攻擊的風險。
• 如果它們可用于您的系統(tǒng)，請安裝補丁以防止 TCP SYN 泛濫。
• 禁用任何未使用或不需要的網(wǎng)絡服務。這可能會限制入侵者利用這些服務執(zhí)行拒絕服務攻擊的能力。
• 如果可用，請在您的操作系統(tǒng)上啟用配額系統(tǒng)。
• 觀察您的系統(tǒng)性能并為日常活動建立基線。使用基線來衡量磁盤活動、CPU 使用率或網(wǎng)絡流量的異常水平。
• 根據(jù)您當前的需求，定期檢查您的人身安全。
• 使用 Tripwire 或類似工具來檢測配置信息或其他文件的更改。
• 投資并維護“熱備件”——在類似機器被禁用的情況下可以快速投入使用的機器。
• 投資冗余和容錯網(wǎng)絡配置。
• 建立并維護定期備份計劃和策略，尤其是重要的配置信息。
• 建立并維護適當?shù)拿艽a策略，尤其是對 UNIX root 或 Microsoft Windows NT 管理員等高特權帳戶的訪問。