拒絕服務

利用域名解析服務器不驗證請求源的弱點，攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析服務器發送查詢請求，域名服務器返回的數據要遠大於請求的數據，導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名服務器因此每天會收到大量的惡意請求，它也不斷的遭受較小規模的DDoS攻擊。

所謂的拒絕服務攻擊就是通過佔滿服務器的所有服務線程或者網絡帶寬，導致正常的服務請求無法得到響應，致使服務器處於癱瘓的狀態。DoS攻擊一般是針對WWW服務器，SMTP服務器等。眾所周知，正常的一次TCP會話首先通過三次協商握手才能完成，首先客户機向目標服務器發送帶有SYN的會話請求，然後服務器向客户機向客户機發送回復消息，最後還需客户機再回送一個確認消息。如果客户機發送的請求包裏面的源IP地址是不可達的IP地址，那麼服務器發出的回覆消息將永遠得不到確認，此時服務器一位是網絡擁塞等問題，一直再等待確認消息和重發回消息，而且時間週期越來越長。試想如果客户機發送大量的這樣的無效請求，那麼服務器的服務線程就會瞬時被佔滿。 ^[1] 

DoS是Denial of Service的簡稱，即拒絕服務攻擊，造成攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。 ^[2] 

1、帶寬攻擊。帶寬攻擊指以極大的通信量衝擊網絡，使得所有可用網絡資源都被消耗殆盡，最後導致合法的用户請求無法通過。

2、連通性攻擊。連通性攻擊指用大量的連接請求衝擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用户的請求。常用的攻擊手段有：同步洪流、Land攻擊、Ping洪流、UDP攻擊、OOB等。

具體的防範措施如下：

1、防止此類攻擊的一種方法是實現DNSSEC，驗證DNS請求源的身份。但舊的DNS基礎架構很難改變。推出了虛擬DNS服務，為域名解析服務器提供基於雲端的DNS查詢和緩存代理服務，驗證請求源的身份。 ^[3] 

2、防火牆防禦。防火牆是防禦DoS攻擊最有效的方法。很多廠商的防火牆都注入了專門針對DoS攻擊的功能。防火牆中防禦DoS攻擊的主流技術主要有兩種：連接監控和同步網關。 ^[1] 

3、路由器防禦。路由器作為整個互聯網的組網設備，可以通過路由器一些訪問控制和QoS設置功能來達到防禦DoS的目的。 ^[1] 

4、系統防禦。每個操作系統都有一些參數用來設置TCP/IP的運行性能，修改這些參數用來防禦DoS也有一定效果，但是這只是輔助措施。 ^[1]