拒絕服務(wù)攻擊

黑客的攻擊手段之一拒絕服務(wù)攻擊01基本概念屬性分類攻擊動(dòng)機(jī)攻擊原理交互屬性防止攻擊目錄0305020406基本信息拒絕服務(wù)攻擊即是攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實(shí)對(duì)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因?yàn)榻j(luò)協(xié)議本身的安全缺陷，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把非法用戶的連接復(fù)位，影響合法用戶的連接?；靖拍罨靖拍罹芙^服務(wù)（DoS）：DoS是Denialofservice的簡稱，即拒絕服務(wù)，任何對(duì)服務(wù)的干涉，使得其可用性降低或者失去可用性均稱為拒絕服務(wù)。例如一個(gè)計(jì)算機(jī)系統(tǒng)崩潰或其帶寬耗盡或其硬盤被填滿，導(dǎo)致其不能提供正常的服務(wù)，就構(gòu)成拒絕服務(wù)

。拒絕服務(wù)攻擊：造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或絡(luò)無法提供正常的服務(wù)

。最常見的DoS攻擊有計(jì)算機(jī)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊絡(luò)，使得所有可用絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求無法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求

。攻擊原理攻擊原理SYNFloodSYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（DistributedDenialOfService分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式

。SYNFlood攻擊的過程在TCP協(xié)議中被稱為三次握手（Three-wayHandshake），而SYNFlood拒絕服務(wù)

。攻擊就是通過三次握手而實(shí)現(xiàn)的

。（1）攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN（Synchronize）即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手

。（2）受害服務(wù)器在收到攻擊者的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示攻擊者的請(qǐng)求被接受，同時(shí)，TCP序號(hào)被加一，ACK（Acknowledgment）即確認(rèn)，這樣就同被攻擊服務(wù)器建立了第二次握手

。（3）攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成，三次握手完成

。屬性分類攻擊動(dòng)態(tài)屬性攻擊靜態(tài)屬性屬性分類攻擊靜態(tài)屬性攻擊靜態(tài)屬性主要包括攻擊控制模式、攻擊通信模式、攻擊技術(shù)原理、攻擊協(xié)議和攻擊協(xié)議層等

。（1）攻擊控制方式攻擊控制方式直接關(guān)系到攻擊源的隱蔽程度。根據(jù)攻擊者控制攻擊機(jī)的方式可以分為以下三個(gè)等級(jí)：直接控制方式（Direct）、間接控制方式（Indirect）和自動(dòng)控制方式（Auto）

。直接控制方式是對(duì)目標(biāo)的確定、攻擊的發(fā)起和中止都是由用戶直接在攻擊主機(jī)上進(jìn)行手工操作的。這種攻擊追蹤起來相對(duì)容易，如果能對(duì)攻擊包進(jìn)行準(zhǔn)確的追蹤，通常就能找到攻擊者所在的位置

。在間接控制方式的攻擊中，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的絡(luò)包，從而造成絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的絡(luò)資源

。自動(dòng)控制方式的攻擊是在釋放的蠕蟲或攻擊程序中預(yù)先設(shè)定了攻擊模式，使其在特定時(shí)刻對(duì)指定目標(biāo)發(fā)起攻擊。這種方式的攻擊，從攻擊機(jī)往往難以對(duì)攻擊者進(jìn)行追蹤，但是這種控制方式的攻擊對(duì)技術(shù)要求也很高

。攻擊動(dòng)態(tài)屬性攻擊動(dòng)態(tài)屬性主要包括攻擊源類型、攻擊包數(shù)據(jù)生成模式和攻擊目標(biāo)類型

。（1）攻擊源類型攻擊者在攻擊包中使用的源類型可以分為三種：真實(shí)（True）、偽造合法（ForgeLegal）和偽造非法（ForgeIllegal）

。攻擊時(shí)攻擊者可以使用合法的IP，也可以使用偽造的IP。偽造的IP可以使攻擊者更容易逃避追蹤，同時(shí)增大受害者對(duì)攻擊包進(jìn)行鑒別、過濾的難度，但某些類型的攻擊必須使用真實(shí)的IP，例如連接耗盡攻擊。使用真實(shí)IP的攻擊方式由于易被追蹤和防御等原因，近些年來使用比例逐漸下降。使用偽造IP的攻擊又分為兩種情況：一種是使用絡(luò)中已存在的IP，這種偽造方式也是反射攻擊所必需的源類型；另外一種是使用絡(luò)中尚未分配或者是保留的IP（例如192.168.0.0/16、172.16.0.0/12等內(nèi)部絡(luò)保留[RFC1918]）

。（2）攻擊包數(shù)據(jù)生成模式攻擊包中包含的數(shù)據(jù)信息模式主要有5種：不需要生成數(shù)據(jù)（None）、統(tǒng)一生成模式（Unique）、隨機(jī)生成模式（Random）、字典模式（Dictionary）和生成函數(shù)模式（Function）

。交互屬性交互屬性攻擊的動(dòng)態(tài)屬性不僅與攻擊者的攻擊方式、能力有關(guān)，也與受害者的能力有關(guān)。主要包括攻擊的可檢測程度和攻擊影響

。（1）可檢測程度根據(jù)能否對(duì)攻擊數(shù)據(jù)包進(jìn)行檢測和過濾，受害者對(duì)攻擊數(shù)據(jù)的檢測能力從低到高分為以下三個(gè)等級(jí)：可過濾（Filterable）、有特征但無法過濾（Unfilterable）和無法識(shí)別（Noncharacterizable）

。第一種情況是，對(duì)于受害者來說，攻擊包具有較為明顯的可識(shí)別特征，而且通過過濾具有這些特征的數(shù)據(jù)包，可以有效地防御攻擊，保證服務(wù)的持續(xù)進(jìn)行。第二種情況是，對(duì)于受害者來說，攻擊包雖然具有較為明顯的可識(shí)別特征，但是如果過濾具有這些特征的數(shù)據(jù)包，雖然可以阻斷攻擊包，但同時(shí)也會(huì)影響到服務(wù)的持續(xù)進(jìn)行，從而無法從根本上防止拒絕服務(wù)。第三種情況是，對(duì)于受害者來說，攻擊包與其他正常的數(shù)據(jù)包之間，沒有明顯的特征可以區(qū)分，也就是說，所有的包，在受害者看來，都是正常的

。（2）攻擊影響根據(jù)攻擊對(duì)目標(biāo)造成的破壞程度，攻擊影響自低向高可以分為：無效（None）、服務(wù)降低（Degrade）、可自恢復(fù)的服務(wù)破壞（Self-recoverable）、可人工恢復(fù)的服務(wù)破壞（Manu-recoverable）以及不可恢復(fù)的服務(wù)破壞（Non-recoverable）

。攻擊動(dòng)機(jī)攻擊動(dòng)機(jī)與其他類型的攻擊一樣，攻擊者發(fā)起拒絕服務(wù)攻擊的動(dòng)機(jī)也是多種多樣的，不同的時(shí)間和場合發(fā)生的、由不同的攻擊者發(fā)起的、針對(duì)不同的受害者的攻擊可能有著不同的目的

。作為練習(xí)手段DoS攻擊非常簡單，掌握起來難度比較小，并且還可從上直接下載工具進(jìn)行自動(dòng)攻擊。因此，這種攻擊被一些自認(rèn)為是或者想要成為黑客而實(shí)際上是腳本小子（ScriptKiddies）的人用做練習(xí)攻擊技術(shù)的手段

。炫耀黑客們常常以能攻破某系統(tǒng)作為向同伴炫耀，提高在黑客社會(huì)中的可信度及知名度的資本，拒絕服務(wù)攻擊雖然技術(shù)要求不是很高，有時(shí)也被一些人特別是一些“所謂的”黑客用來炫耀

。仇恨或報(bào)復(fù)仇恨或報(bào)復(fù)也常常是攻擊的動(dòng)機(jī)。尋求報(bào)復(fù)通常都基于強(qiáng)烈的感情，攻擊者可能竭盡所能地發(fā)起攻擊，因而一般具有較大的破壞性。同時(shí)，拒絕服務(wù)攻擊當(dāng)是報(bào)復(fù)者的首選攻擊方式，因?yàn)樗麄兊哪康闹饕瞧茐亩菍?duì)系統(tǒng)的控制或竊取信息

。防止攻擊防止攻擊對(duì)于拒絕服務(wù)攻擊而言，目前還沒有比較完善的解決方案。拒絕服務(wù)攻擊，尤其是分布式風(fēng)暴型拒絕服務(wù)攻擊，是與目前使用的絡(luò)協(xié)議密切相關(guān)的，它的徹底解決即