拒绝服务与攻击防范拒绝服务攻击与防范拒绝服务，攻击，DoS，DDoS，DRoS。

一、一般的拒绝服务攻击与防范我们先来看看DoS的英文是什么-----DenialofService所以中文译过来就是拒绝服务了，因为Internet本身的弱点及Internet总体上的不安全性使入侵者利用了TCP/IP协议的一些不足来发动攻击，这样黑客们就容易攻击成功，因为拒绝服务攻击是一种技术含量低的攻击，所以大多人都可容易掌握，一般来说是攻击者在用其它办法不能攻击得呈时，他极有可能采用这种攻击方法，但是拒绝服务可以说是一种高消耗的方法，是一种损人不利已的行为，虽然攻击时使受攻击目标不能正常的提供服务的同时，也会浪费掉攻击者的大量代价。

由于攻击就是主要使服务器的服务能力下降，所以当你发现你的CPU占用是100%时，一定要仔细看看Ri志，最常见的是查看防火墙的记录，如果常见的黑客攻击是征对WEB服务攻击。

那么你还可从你的WEBRi志中得到一些收获的，从中仔细地分析出是什么原因造成的。

下面我来说说最常见的，也是最早的一些拒绝服务。

1、报文洪水攻击(FloodDoS)这个是根据TCP/IP协议的规定，要完成一个TCP连接时，需要三次握手。

首先客户端发一个有SYN标志的包给服务器，请求服务，然后服务端返回一个SYN+1的ACT响应包。

客户端收到后再发一个确认包给服务端。

这时，客户端与服务端建立连接成功，这样就为进行以后的通信作好了准备工作。

进行攻击时，攻击者就会利用只发伪造的包而不接收响应(这里实质是收不到，因为IP是假的)，从而让服务器产生大量的“半开连接”，由于每个包服务器有一定的等待响应时间，而且当一定时间没有收到响应时，还会多次重发。

因此服务器在重发与等待过程中形成大量的半开连接。

从而攻击者可通过多台计算机。

发送大量的虚假IP源地址的SYN 数据包，造成服务器CPU的占用过渡，当达到一定量时，就形成了拒绝服务。

同时由于合法用户的请求大多被攻击包淹没中，即使服务器此时没有死机，也无力再响应合法用户的请求了。

对于这种攻击，我们可以减少服务器重发包的次数和等待的时间，如WIN2K中可修改注册表的相应设置来防范这种洪水攻击(由于内容过多，请参考相关资料)。

2、UDPflood拒绝服务攻击由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。

但是，由于UDP协议是无连接性的，所以只要你开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击，如QQ就是基于UDP协议的，网上有种工具能进行发送大量的包对目标进行攻击，从而让对方QQ被下线，如果是对其它的服务进行的话，严重点的话，可能会让服务器死机。

对这种攻击，建议安上防炎墙，但由于你是开了这UDP端口提供相关服务的，所以也很难于防范。

3、Land攻击。

这是利用TCP/IP的漏洞，进行发送大量的源地址与目的地址相同的包，从而造成服务器解析Land包时占用大量的处理资源，当收到的包达到一定程度时，就会形成拒绝服务攻击。

对这类攻击的防范可由防火墙解决，当收到这类包时，主动把它丢掉，不作处理，这就是简单的FIREWALL的包过滤功能，另外要打上最新的补丁。

4、Smurf攻击。

放大效果是黑客常利用的一种方法，这会使网络的效果以许多倍数递增，所以效果也相当的好，攻击者伪装成为受攻击者发包给该网络上的广播设备，然后广播设备再把请求发给网络上的多个设备，从而多个设备对这个被攻击者进行回复响应，如果该网络上的响应设备足够的多的话，就是让被攻击者收到大量的包，从而受到拒绝服务攻击。

对这种攻击，我认为可以采取一些隔离设备。

使之不能进行广播。

进行网络的多个划分，形成多个小“局域网”来解决这样的攻击。

主要的思路就是防止计算机对IP广播请求做出响应。

5、死Ping。

Ping是通过发送ICMP报文来判断主机是否存活。

我们利用这个命令就能发动一次攻击，当发送超大型这种包时，也就是发送的包超过65535字节会造成服务器重组包时发生缓冲区溢出，从而让服务器崩溃发生拒绝服务。

对这类攻击的防范现在比较容易，如一般安装了防火墙的都不会响应Ping命令的，都会把这样的包挡下，也可在系统里边设置，如WIN2K可在IP安全策略中设定把ICMP的包过滤掉，这样就解决了。

另外就是要打上补丁。

二、分布式拒绝服务攻击与防范还是先来看看它的英语是什么吧，英文全称是DistributedDenialofService，在这种攻击主要有四种角色，黑客，主控端，攻击端，被攻击目标。

它们的数量大体有以下的情况: 黑客(一个以上)——>主控端(较多)——>攻击端(很多个)——>被攻击目标(一个) 在攻击的前期，黑客会花大量的时间来寻找大量的肉机来充当主控端与攻击端，并且为攻击作好准备工作，也就是安装各种拒绝服务后门程序，如我们国内比较有名的独裁者，它与木马相似，分为客户端与服务端。

必须大量的植入服务端程序，以便以后发起攻击。

(在这以前我也曾写过《拒绝服务独裁者后门的手工清除》的文章，可以参考一下，不要让自己的计算机充当了为攻击者服务的工具)在这种攻击中，黑客若对一个大型目标进行攻击时，可能采取多方联合，就是把一般的那些拒绝服务攻击方式都可能用上，这样才能达到攻击效果明显，尽早让被攻击目标陷入瘫痪状态中。

这里为何多个主控端呢,主要是黑客在攻击时，被攻击目标可能会进行查找攻击源，这样的话就能够更好的隐藏，并且一般来说，黑客是用虚假的IP源地址来控制主控端的，黑客不会让主控端返回任响应。

同样主控端与攻击者间的通信控制也是采取这样方式，这样就大大的减少了暴露出黑客自己的可能性。

对这类攻击是很难防范的，这里不仅是被攻击者的，还有网络中的各计算机都要时刻注意的，有时也许你的计算机无意中就充当了一个攻击者的角色，所以，你要尽可能的打上最新补丁，检查自己计算机的漏洞，不要让黑客在你的计算机中植入了攻击程序。

如独裁者的服务端会开一个8535的端口等待连接，随时在待命攻击中一样,并且当攻击行动发生时，你的计算机若是充当了攻击端的话，会明显感觉到你在处理另外的工作时速度突然变慢，在WINDOW操作系统下我看了一下，CPU利用率会达到100%，所以说，是相当严重的。

但有些攻击程序也没有客户端，对这种情况，黑客一般是早已就计划好了对某个目标的攻击的，他们早就把攻击程序配制好了的，只对特定的目标进行攻击。

对于被攻击者，当受到攻击时，要及时的调整防火墙的策略。

要与骨干网络运营商做好沟通，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有这个数据包源IP的路由，就丢掉这个包。

这种方法可以一定程度上阻止黑客利用伪造的源IP来进行DDoS攻击。

不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。

另外就是要与ISP进行联系，请求提供帮助。

三、反射式分布拒绝服务攻击。

同样它的英语是DistributedReflectionDenialofService这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。

这种攻击也是在伪造数据包源地址的情况下进行的，从这一点上说与Smurf攻击一样，而DrDoS是可以在广域网上进行的。

其名称中的"r"意为反射，就是这种攻击行为最大的特点。

黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。

同Smurf攻击一样，黑客所发送的请求包的源IP地址是被害者的地址，这样受欺骗的计算机就都会把回应发到受害者处，造成该主机忙于处理这些回应而被拒绝服务攻击。

对于这种攻击是很难进行防范的，因为这类包的IP虽然是不真实的，但却是合法的。

四、新型DoS(伪造TCP连接进行数据传输的DoS)攻击。

这里是从近几天重庆网络安全工程师俱乐部的LionD8写的一篇文章中谈的，这种拒绝服务攻击主要在它要先建立TCP连接，然后才发动攻击。

先来看看过程: A为攻击者，C被攻击者:ASyn——>CASyn,Ack<——CAAck——>CA发送数据——>CAAck<——CA发送数据——>CAAck<———C--------引用原文中的结果说明:对于一般的临时端口比较有效对于1025端口来说，相当的有效。

内存持续上升后最后可以导致计算机由于资源不足无响应，死机。

20分钟可以拖死一个网吧的服务器。

对于80端口最大连接数100，效果不是十分的明显，消耗掉40M内存就开始反复了，留下大量的FIN_WAIT_1状态和ESTABLISHED状态。

至于具体内容请参考原文《新型DoS(伪造TCP连接进行数据传输的DoS)》在网站。

这种攻击是在NAPTHA基础上的进一步的发展而得的一种攻击方法。

对这种攻击只要找到其IP加入过滤规则中过滤掉就行了，当然，要是在边界有IDS的话，当发现这类攻击时，可以同时报警，同时与防火墙进行联动，因为对这种攻击IP是固定的，所以也相对容易分析与防范。

五、新型放大拒绝服务攻击。

这种攻击是主要利用网络上数据放大的原理进行攻击的。

主要是对整个网络进行拒绝服务攻击，把某个网络破坏掉，这里引用举例说明:大家知道,,,,,分为,,;,,和,,,,这里是两种主要的协议，免费的网络上都是一大把。

,,;,,代理可以直接连接成代理链，,,,,代理有一些可以通过他的,,,,,;,模式模拟成,,;,,代理(这个模式为了,,,登陆的，具体可以看,,;文档，有部分服务器允许;,,,,;,到任何端口，有的有限制在,,,，我说的都是不限制的)，这样的我们可以利用,,,,代理的;,,,,;,和,,;,,代理做这么一个代理链,,,,,,,,,,,,,,,……(,表示Ri本代理，,表示美国代理)那么我们连接他上百次，然后最后的指令是去,,;,,,,,,下载它的,,,,,,, ,, ,,,，那么意味着什么,我来描述一下具体的情况，在连接过程中，我们发现响应速度越来越慢，这是因为我们人为的把网络节点一倍一倍的增加，数据通过的网络长度也在成倍增加，相应速度也慢了，但是开始下载的时候，你会惊讶的发现速度并没有慢哦，本来是多少还是多少，不会因为代理数目多了而放慢速度，就好像在高速，一个长长的车队，不会因为车多了慢下来(速度)只会因为路线长了，跑的时间多了(响应时间)哈哈，又是单线数据放大百倍，这时的,点就是,国到,国那根光缆了。

如果我们下载的速度会达到了,,,KB,,那么放大,,,倍就是,,,,,,,,,，就是,,,,,,，那么就在J国到,国的国际线路上长时间占用了,,,,,,,的带宽哦。