DOS-DDOS.doc

DOS/DDOS 什么是DOS？ DOS（Denial of service）拒绝服务攻击，是网络攻击最常见的一种。它故意攻击网络协议的缺陷或直接通过访问某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃。形象点说 ：我想去攻击B,我就招集了很多清洁工人把很多垃圾堆在B的房屋里，或者让很多人同时堵在B的房外，使别人不能去访问B。而B承受不住这压力，最后因疲劳至死 。但是DOS攻击中并不入侵目标服务器或目标网络设备。这些服务器资源包括网络宽带，文件系统空间容量，开放的进程或允许的连接。 DOS这种攻击会导致资源不足，无论计算机的处理速度有多快、内存容量有多大、网络宽带速度有多快，都无法避免这种攻击带来的后果！任何事物都有一个极限，所以总能找到一个方法使请求值大于极限值。因此就会故意导致所提供的服务资料的匮乏、表面上好像是服务器资源无法满足需求。 DOS攻击的原理 造成DOS攻击最主要的原因是TCP/IP协议的脆弱性。根据TCP/IP协议的原理，当客户端要和服务器进行通信时，会经过请求/确认方式进行联系。如用户登录服务器时，首先是用户传送信息要求服务器确认，服务器给予响应回复客户端请求，当被确认后，客户端才能正式与服务器交流信息。在DOS攻击情况下，攻击者凭借虚假地址向服务器提交连接请求，当服务器回传时却无法找到该地址，根据TCP/IP连接原理，此时服务器会进行等待，达到超时设置时才会断开这个连接。如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请求，那么服务器就会等待更长的时间，这个过程周而复始，最终会导致服务器资源用尽，网络带宽用完，正常服务请求不能被服务器及时处理而形成服务器拒绝服务。拒绝服务不是服务器不接受服务，而是服务器太忙，不能及时响应请求，相对于客户来说就认为服务器拒绝给与服务，严重时会造成服务器死机，甚至整个网络瘫痪。 DOS攻击的基本过程 首先，攻击者向服务器发送过多的带有虚假地址的请求，服务器发送应答信息后等待响应信息。由于地址是虚假的，所以服务器一直等不到回应信息，分配给这次请求的资源始终没有被释放。当服务器等待一定时间后，连接会因为超时而被切断。攻击者会在发送一批新的请求，在这种反复发送伪地址请求的情况下，最终耗尽服务器资源。 DOS攻击的特点 难确认性。DOS攻击很难判断，用户在自己的服务得不到及时响应时，并不认为自己（或系统）受到攻击，反而可能认为是系统故障造成的一时的服务失效。 隐蔽性。正常服务器请求隐藏了DOS攻击的过程。 资源有限性。由于计算机资源有限，容易实现DOS攻击。 软件复杂性。由于软件所固有的复杂性，难以确保软件没有缺陷，攻击者可以直接利用软件的缺陷进行DOS攻击。 被DOS攻击时的现象 ?被攻击主机上有大量等待的TCP连接 ?网络中充斥着大量的无用的数据包，源地址为假 ?制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 ?利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 ?严重时会造成系统死机 DOS攻击的方式 DOS攻击多是通过制造高流量无用数据，消耗网络带宽或系统资源，导致网络或系统不堪重负以致瘫痪，停止正常的网络服务。一般有两种实现方法：一是利用目标主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，是目标主机无法及时处理正常的请求。二是利用目标主机所提供服务处理数据缺陷，反复发送畸形数据引发服务程序错误，大量占用服务资源，是目标主机处于假死状态甚至死机。常见的DOS攻击有同步洪泛（SYN Flooding）、UDP洪泛（UDP Flooding）、Land攻击、死亡之ping、TCP标志位攻击、泪滴攻击和Smurf攻击等。 针对网络连接的攻击——同步洪泛（SYN Flooding） 由于TCP协议连接三次握手的需要，在每个TCP建立连接时，都要发送一个带SYN标记的数据包，如果在服务器端发送应答包后，客户端不发出确认，服务器会等待到数据超时，如果大量的带SYN标记的数据包发到服务器端后都没有应答，会使服务器端的TCP资源迅速枯竭，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。这就是TCP SYN Flooding攻击的过程。 　图1 TCP Syn攻击 TCP Syn 攻击是由受控制的大量客户发出 TCP 请求但不作回复，使服务器资源被占用，再也无法正常为用户服务。服务器要等待超时(Time Out)才能断开已分配的资源。 任何连接到互联网上并提供基于的TCP网络服务，如WWW服务、FTP服务、 ICMP(Internet Control Message Protocol RFC792)技术进行攻击。