拒绝服务攻击DoS(Denial of Service) 的主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击,使网络拥塞、系统资源耗尽或者系统应用死销,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚至导致服务中断。原理:消耗系统资源、导致目标主机宕机,从而阻止授权用户正常访问服务。
要对服务器实施拒绝服务攻击,实质上的方式就是有两个:
1服务器的缓冲区满,不接收新的请求。
2 使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。这也是DoS攻击实施的基本思想。
拒绝服务攻击类型有许多种,网络的内外部用户都可以发动这种攻击。内部用户可以通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。外部用户针对网络连接发动拒绝服务攻击主要有几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。
DoS攻击方式
1.同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。
2.Smurf攻击:攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求这些包被放大,并发送到被欺骗的地址,大量的计算机向一台计算机回应ECHO包,目标系统会崩溃。
3.Ping of Death攻击:攻击者故意发送大于65535字节的IP数据包给对方,导致内存溢出这时主机会出现内存分配错误而导致TCP/IP堆栈崩溃,导致死机。
4.Teardrop攻击:分段攻击,伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各个分段重叠来使目标系统崩溃或挂起。
5.Winnuke攻击:针对windows系统开放的139端口,只要向该端口发送1字节的TCPOOB数据(TCP连接的一种特殊数据,设置了URG标志,优先级更高),就可以使 windows系统出现蓝屏错误,并且网络功能完全瘫痪。
6.Land攻击:也是利用三次握手的缺陷进行攻击,将SYN数据包的源地址和目的地址都设置为目标主机的地址,目标主机向自己回以SYN+ACK包,导致自己又给自己回一个 ACK并建立自己与自己的连接,当这种无效连接达到一定的数量,目标主机将会拒绝新的连接请求。
7.电子邮件轰炸:针对服务端口(SMTP端口,端口号25)的攻击,攻击者通过连接到邮件服务器的25端口,按照SMTP协议发送几行头信息加上一堆文字垃圾,反复发送形成邮件轰炸。
8.低速率拒绝服务攻击(Low-rateDoS)LDoS:与传统的洪泛式DoS攻击截然不同,其最大特点是不需要维持高速率攻击流,耗尽受害者端所有可用资源,而是利用网络协议或应用服务中常见的自适应机制(如TCP 的拥塞控制机制)中所存在的安全漏洞,通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包,从而降低被攻击端服务性能。
9.分布式拒绝服务攻击DDoS(DistributedDenialofService): 是对传统DoS 攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。引入了分布式攻击和C/S结构,Client(客户端)运行在攻击者的主机上,用来发起和控制DDoS攻击:Handler(主控端)运行在已被攻击者侵入并获得控制的主机上,用来控制代理端;Agent(代理端)运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。
