-
拒絕服務
鎖定
- 中文名稱
- 拒絕服務
- 英文名稱
- denial of service;DoS
- 定 義
- 通過向服務器發送大量垃圾信息或干擾信息的方式,導致服務器無法向正常用户提供服務的現象。
- 應用學科
- 通信科技(一級學科),網絡安全(二級學科)
以上內容由全國科學技術名詞審定委員會審定公佈
- 中文名
- 拒絕服務
- 外文名
- denial of service;DoS
- 行 業
- IT
- 目 的
- 保障網絡安全
- 學 科
- 通信科技,一級;網絡安全,二級
拒絕服務基本原理
利用域名解析服務器不驗證請求源的弱點,攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析服務器發送查詢請求,域名服務器返回的數據要遠大於請求的數據,導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名服務器因此每天會收到大量的惡意請求,它也不斷的遭受較小規模的DDoS攻擊。
拒絕服務攻擊原理
所謂的拒絕服務攻擊就是通過佔滿服務器的所有服務線程或者網絡帶寬,導致正常的服務請求無法得到響應,致使服務器處於癱瘓的狀態。DoS攻擊一般是針對WWW服務器,SMTP服務器等。眾所周知,正常的一次TCP會話首先通過三次協商握手才能完成,首先客户機向目標服務器發送帶有SYN的會話請求,然後服務器向客户機向客户機發送回復消息,最後還需客户機再回送一個確認消息。如果客户機發送的請求包裏面的源IP地址是不可達的IP地址,那麼服務器發出的回覆消息將永遠得不到確認,此時服務器一位是網絡擁塞等問題,一直再等待確認消息和重發回消息,而且時間週期越來越長。試想如果客户機發送大量的這樣的無效請求,那麼服務器的服務線程就會瞬時被佔滿。
[1]
拒絕服務攻擊方式
1、帶寬攻擊。帶寬攻擊指以極大的通信量衝擊網絡,使得所有可用網絡資源都被消耗殆盡,最後導致合法的用户請求無法通過。
2、連通性攻擊。連通性攻擊指用大量的連接請求衝擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用户的請求。常用的攻擊手段有:同步洪流、Land攻擊、Ping洪流、UDP攻擊、OOB等。
拒絕服務防範措施
具體的防範措施如下:
1、防止此類攻擊的一種方法是實現DNSSEC,驗證DNS請求源的身份。但舊的DNS基礎架構很難改變。推出了虛擬DNS服務,為域名解析服務器提供基於雲端的DNS查詢和緩存代理服務,驗證請求源的身份。
[3]
- 參考資料
-
- 1. 林棟. 拒絕服務攻擊(DoS)的攻與防[J]. 廣東通信技術,2003,04:26-28.
- 2. 李禾,王述洋. 拒絕服務攻擊/分佈式拒絕服務攻擊防範技術的研究[J]. 中國安全科學學報,2009,01:132-136.
- 3. 對抗拒絕服務攻擊 Cloudflare宣佈虛擬DNS服務 .網易[引用日期2016-05-24]