网络安全原理与应用系别：计算机科学与技术系班级：网络信息与技术姓名：x x x学号：xxxxxxxxxxxxx拒绝服务攻击原理、常见方法及防范什么是DOS攻击DOS：即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。

DOS 攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。

比如：* 试图FLOOD服务器，阻止合法的网络通讯* 破坏两个机器间的连接，阻止访问服务* 阻止特殊用户访问服务* 破坏服务器的服务或者导致服务器死机不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。

通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。

你理解了DoS攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。

在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。

而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

有关TCP协议的东西TCP（transmission control protocol，传输控制协议），是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议，在RFC793中有正式定义，还有一些解决错误的东西在RFC 1122中有记录，RFC 1323则有TCP的功能扩展。

我们常见到的TCP/IP协议中，IP层不保证将数据报正确传送到目的地，TCP则从本地机器接受用户的数据流，将其分成不超过64K字节的数据片段，将每个数据片段作为单独的IP数据包发送出去，最后在目的地机器中再组合成完整的字节流，TCP协议必须保证可靠性。

发送和接收方的TCP传输以数据段的形式交换数据，一个数据段包括一个固定的20字节头，加上可选部分，后面再跟上数据，TCP协议从发送方传送一个数据段的时候，还要启动计时器，当数据段到达目的地后，接收方还要发送回一个数据段，其中有一个确认序号，它等于希望收到的下一个数据段的顺序号，如果计时器在确认信息到达前超时了，发送方会重新发送这个数据段。

上面，我们总体上了解一点TCP协议，重要的是要熟悉TCP的数据头（header）。

因为数据流的传输最重要的就是header里面的东西，至于发送的数据，只是header附带上的。

客户端和服务端的服务响应就是同header里面的数据相关，两端的信息交流和交换是根据header中的内容实施的，因此，要实现DOS，就必须对header中的内容非常熟悉。

下面是TCP数据段头格式。

Source Port和 Destination Port :是本地端口和目标端口Sequence Number 和 Acknowledgment Number ：是顺序号和确认号，确认号是希望接收的字节号。

这都是32位的，在TCP流中，每个数据字节都被编号。

Data offset :表明TCP头包含多少个32位字，用来确定头的长度，因为头中可选字段长度是不定的。

Reserved : 保留的6位，现在没用，都是0 接下来是6个1位的标志，这是两个计算机数据交流的信息标志。

接收和发送断根据这些标志来确定信息流的种类。

下面是一些介绍：URG：（Urgent Pointer field significant）紧急指针。

用到的时候值为1，用来处理避免TCP数据流中断。

（Acknowledgment field significant）置1时表示确认号（Acknowledgment Number）ACK：为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。

RST：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。

如果接收到RST位时候，通常发生了某些错误。

SYN：（Synchronize sequence numbers）用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。

即，SYN和ACK来区分Connection Request和Connection Accepted。

FIN：（No more data from sender）用来释放连接，表明发送方已经没有数据发送了。

知道这重要的6个指示标志后，我们继续来。

16位的WINDOW字段：表示确认了字节后还可以发送多少字节。

可以为0，表示已经收到包括确认号减1（即已发送所有数据）在内的所有数据段。

接下来是16位的Checksum字段，用来确保可靠性的。

16位的Urgent Pointer，和下面的字段我们这里不解释了。

不然太多了。

呵呵，偷懒啊。

我们进入比较重要的一部分：TCP连接握手过程。

这个过程简单地分为三步。

在没有连接中，接受方（我们针对服务器），服务器处于LISTEN状态，等待其他机器发送连接请求。

第一步：客户端发送一个带SYN位的请求，向服务器表示需要连接，比如发送包假设请求序号为10，那么则为：SYN=10，ACK=0，然后等待服务器的响应。

第二步：服务器接收到这样的请求后，查看是否在LISTEN的是指定的端口，不然，就发送RST=1应答，拒绝建立连接。

如果接收连接，那么服务器发送确认，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是：SYN=100，ACK=11，用这样的数据发送给客户端。

向客户端表示，服务器连接已经准备好了，等待客户端的确认这时客户端接收到消息后，分析得到的信息，准备发送确认连接信号到服务器第三步：客户端发送确认建立连接的消息给服务器。

确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。

即：SYN=11，ACK=101。

这时，连接已经建立起来了。

然后发送数据，。

这是一个基本的请求和连接过程。

需要注意的是这些标志位的关系，比如SYN、ACK。

上面的介绍，我们了解TCP协议，以及连接过程。

要对SERVER实施拒绝服务攻击，实质上的方式就是有两个：一，迫使服务器的缓冲区满，不接收新的请求。

二，使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接，这就是DOS攻击实施的基本思想。

被DDoS攻击时的现象：·被攻击主机上有大量等待的TCP连接·网络中充斥着大量的无用的数据包，源地址为假·制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯·利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求·严重时会造成系统死机攻击进行原理：如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。

请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。

对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。

在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。

这就是导致DDoS攻击难以追查的原因之一了。

做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。

在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2. 如何清理日志。

这就是擦掉脚印，不让自己做的事被别人查觉到。

比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。

相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。

这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。

这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。

但如果这是控制用的傀儡机的话，黑客自身还是安全的。

控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

黑客是如何组织一次DDoS攻击的？这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。

一般来说，黑客进行DDoS 攻击时会经过这样的步骤：1. 搜集了解目标的情况下列情况是黑客非常关心的情报：•被攻击目标主机数目、地址情况•目标主机的配置、性能•目标的带宽对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。