　　DoS是“拒绝服务”（Denial of Service）的缩写，DoS攻击（拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。

　　由于一些网络通讯协议本身固有的缺陷，拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机付出很大的资源开销，因此攻击方往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击(分布式拒绝服务攻击)，通过控制多台傀儡主机策划进攻，更加强了攻击的破坏性，甚至可以造成一些包括防火墙、路由器在内的网络设备瘫痪。可以假想一个公用电话呼叫服务系统(如119报警台)，如果遭遇恶意地不间断拨打骚扰电话，就可能造成电话系统繁忙，从而阻塞正常的电话请求，造成呼叫中心无法为正常的用户请求服务。DoS攻击就是类似形式的恶意网络行为。

　　早期的DoS攻击都需要相当大的带宽资源来实现，而以个人为单位的“入侵者”往往没有这样的条件。但是后来攻击者发明了分布式的攻击方式，即利用工具软件集合许多的网络带宽来同时对同一个目标发动大量的攻击请求，这就是DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。简而言之，DDoS攻击是由“入侵者”集中控制、发动的一组DoS攻击的集合，非常难以抵挡。

　　单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

　　你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

　　攻击运行原理

　　下面简单介绍DDOS攻击运行原理,如图所示:

　　

　　第一步，搜集了解目标的情况，包括被攻击目标主机数目、地址情况、目标主机的配置、性能和目标的带宽。

　　第二步，占领傀儡机，包括链路状态好的主机、性能好的主机以及安全管理水平差的主机。黑客现在占领了一台傀儡机了，然后他做什么呢？做为攻击者的角度来说，肯定不愿意被捉到，因此一般不直接攻击受害者，而是先找出傀儡机，占领傀儡机，然后以傀儡机为源点攻击最后的受害者，这样就很好保护了自己攻击了别人不被发现。

　　第三步，经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。对于实际的攻击复杂很多，各种各样的隐蔽样式层出不止。

　　被DDoS攻击时的现象

　　怎么判断机子正遭受到DDoS攻击呢？一般来说，被攻击主机上有大量等待的TCP连接，网络中充斥着大量的无用的数据包，源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，严重时会造成系统死机等等，这些都是遭受到DDoS攻击时的现象。

　　最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

[1] [2] [3] 下一页

上一篇:细数众多不同VPN产品的安全功能分析

下一篇:防火墙技术讲座

保障主机安全无忧 抗拒绝服务设备介绍

保障主机安全无忧抗拒绝服务设备介绍