dos

DoS, Denial of Service, 拒絕服務，一種常用來使服務器或網絡癱瘓的網絡攻擊手段。

DDoS, Distributed Denial of Service, 分佈式拒絕服務攻擊，亦稱作洪水攻擊。

顧名思義，即是利用網絡上已被攻陷的電腦作為“殭屍”，向某一特定的目標電腦發動密集式的“拒絕服務”要求，用以把目標電腦的網絡資源及系統資源耗盡，使之無法向真正正常請求的用户提供服務。黑客通過將一個個“喪屍”或者稱為“肉雞”組成殭屍網絡（即Botnet），就可以發動大規模DDoS或SYN洪水網絡攻擊，或者將“喪屍”們組到一起進行帶有利益的刷網站流量、Email垃圾郵件羣發，癱瘓預定目標，使僱主達到攻擊競爭對手為目的的商業活動等。

DDoS攻擊可以具體分成兩種形式：

帶寬消耗型以及資源消耗型，都是透過大量合法或偽造的請求佔用大量網絡以及器材資源，以達到癱瘓網絡以及系統的目的。

DDoS 帶寬消耗攻擊可以分為兩個不同的層次：洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用殭屍程序發送大量流量至受損的受害者系統，目的在於堵塞其帶寬。放大攻擊也與之類似，通過惡意放大流量限制受害者系統的帶寬；其特點是利用殭屍程序發送信息，但是信息卻是發送至廣播 IP 地址，導致系統子網被廣播 IP 地址連接上之後再發送信息至受害系統。

User Datagram Protocol (UDP) floodsUDP是一種無連接協議，當數據包通過 UDP 發送時，所有的數據包在發送和接收時不需要進行握手驗證。當大量 UDP 數據包發送給受害系統時，可能會導致帶寬飽和從而使得合法服務無法請求訪問受害系統。遭受 DDoS UDP 洪泛攻擊時，UDP 數據包的目的端口可能是隨機或指定的端口，受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程序在目標端口運行，受害系統將對源IP發出 ICMP 數據包，表明“目標端口不可達”。某些情況下，攻擊者會偽造源IP地址以隱藏自己，這樣從受害系統返回的數據包不會直接回到殭屍主機，而是被髮送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網絡連接，這可能導致受害系統附近的正常系統遇到問題。然而，這取決於網絡體系結構和線速。ICMP floodsICMP floods是通過向未良好設置的路由器發送廣播信息佔用系統資源的做法。ping of death是產生超過IP協定能容忍的分組數，若系統沒有檢查機制，就會宕機。TearDrop每個數據要傳送前，該分組都會經過切割，每個小切割都會記錄位移的信息，以便重組，但此攻擊模式就是捏造位移信息，造成重組時發生問題，造成錯誤。

協議分析攻擊 (SYN flood)傳送控制協議 (TCP) 同步 (SYN) 攻擊。TCP 進程通常包括髮送者和接受者之間在數據包發送之前創建的完全信號交換。啓動系統發送一個 SYN 請求，接收系統返回一個帶有自己 SYN 請求的 ACK （ 確認 ）作為交換。發送系統接着傳回自己的 ACK 來授權兩個系統間的通訊。若接收系統發送了 SYN 數據包，但沒接收到 ACK，接受者經過一段時間後會再次發送新的 SYN 數據包。接受系統中的處理器和內存資源將存儲該 TCP SYN 的請求直至超時。DDoS TCP SYN攻擊也被稱為“資源耗盡攻擊” ,它利用 TCP 功能將殭屍程序偽裝的 TCP SYN 請求發送給受害服務器，從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用發送系統和接收系統間的三向信號交換來發送大量欺騙性的原 IP 地址 TCP SYN 數據包給受害系統。最終，大量 TCP SYN 攻擊請求反覆發送，導致受害系統內存和處理器資源耗盡，致使其無法處理任何合法用户的請求。LAND attack這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而死機。CC 攻擊是 DDoS 攻擊的一種類型，使用代理服務器向受害服務器發送大量貌似合法的請求 （ 通常使用 HTTP GET )。CC (攻擊黑洞)根據其工具命名，攻擊者創造性地使用代理機制，利用眾多廣泛可用的免費代理服務器發動 DDoS 攻擊。許多免費代理服務器支持匿名模式，這使追蹤變得非常困難。殭屍網絡攻擊殭屍網絡是指大量被命令控制型 (C&C) 服務器所控制的互聯網主機羣。攻擊者傳播惡意軟件並組成自己的殭屍網絡。殭屍網絡難於檢測的原因是，殭屍主機只有在執行特定指令時才會與服務器進行通訊，使得它們隱蔽且不易察覺。殭屍網絡根據網絡通訊協議的不同分為 IRC、HTTP 或 P2P類等。Application level floods與前面敍説的攻擊方式不同，Application level floods主要是針對應用軟件層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務。

20世紀90年代中晚期的DoS活動差不多都是基於利用操作系統裏的各種軟件缺陷。這些缺陷大都屬於會導致軟件或硬件無法處理例外的程序設計失誤。這類威脅可以稱為是殺手包或劇毒包(Killer Packet)型威脅，它主要是利用協議本身或者其軟件實現中的漏洞，通過一些非正常的(畸形的)數據包使得受害者系統在處理時出現異常，導致受害者系統崩潰。由於這類威脅主要是利用協議或軟件漏洞來達到威脅效果的，因此，有的也稱這類威脅為漏洞威脅，也有稱之為協議威脅(Protocol Attack)的。此外，由於這類威脅對不法者的運算能力或帶寬沒有要求，一個通過Modem連接的低檔的PC機就可以攻破一個具有高帶寬的大型系統。因此，這類威脅也是一種非對稱DoS威脅。

隨着系統的更新，網絡安全技術的進步，在可供利用的安防漏洞越來越少的情況下，現代DoS威脅技術採取一種更直接的戰術——消耗戰(能力消耗、帶寬消耗)，Flood型的威脅方式是這個戰術的最好體現。

這類威脅可以稱為風暴型(Storm Type)或洪泛型(Flood Type)威脅，不法者通過大量的無用數據包占用過多的資源以達到拒絕服務的目的。這種威脅有時也稱為帶寬威脅(BandwidthAttack)，原因是其常常佔用大量的帶寬，即使有時威脅的最終目的是佔用系統資源，但在客觀上也會佔用大量帶寬。在這類威脅中，有害數據包可以是各種類型的，數據包中的數據也可以是多種多樣的，這些數據包與正常服務的數據包是難以區分的。劇毒包威脅，利用協議實現的漏洞，全過程只需藉助於一個或少量的異常數據包即可達到目的；洪泛威脅的效果完全依賴於數據包的數量，僅當大量的數據包傳到目標系統(受害者)時才有效。

這是一種基於DoS的特殊形式的拒絕服務威脅，是一種分佈、協作的大規模威脅方式。不法者通過控制一定數量的傀儡機，向目標主機發起羣體威脅，甚至多種威脅類型的混合威脅，這比單一主機發起的DoS威脅威力更大，效果更好。

DRDoS不同於以往的拒絕服務方式，它對DDoS作了改進，它是通過對正常的服務器進行網絡連接請求來達到破壞目的的。從TCP的三次握手中我們知道了任何合法的TCP連接請求都會得到返回數據包，而這種威脅方法就是將這個返回包直接返回到被害的主機上，這裏涉及到數據包內的源口地址問題，就是利用數據包的口地址欺騙方法，欺騙被利用的網絡服務器，讓此服務器認為TCP請求連接都是被害主機上發送的，接着它就會發送“SYN+ACK”數據包給被害主機，惡意的數據包就從被利用的服務器“反射”到了被害主機上，形成洪水威脅。 ^[1] 

與所有的拒絕服務（DOS）攻擊相關的一件事是他們都不可能避免。最好的方法是把重點放在減少影響DOS攻擊的方法上。如果你有一個網絡，黑客想要玩一玩它（在最好的情況)，以及攻擊(在最壞的情況)。

有一件最具前瞻性的事情是你可以去做的，那就是不要給任何人提供一種在web服務器和應用中可以輕易找到，並且容易利用DOS缺陷的方法。最近我負責一個項目，涉及到一個網站的一個頁面，被認為容易受到匿名HTTP代理請求的攻擊。

減少DoS攻擊影響的一件最重要的事情是制定計劃。提前考慮如何管理費用安全漏洞，一旦攻擊出現，你就可以讓事情自動得到處理。 ^[2]