DoS 拒絕服務攻擊

領測軟件測試網   DoS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Inte.net連接和網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。
　　
    我們可以看出DoS攻擊的基本過程：首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，服務器資源最終會被耗盡。
　　
   DDoS(分布式拒絕服務)，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，象商業公司，搜索引擎和政府部門的站點。從圖1我們可以看出DoS攻擊只要一臺單機和一個modem就可實現，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

DoS 原理及概述

    DoS（Denial of Service）拒絕服務攻擊廣義上可以指任何導致你的服務器不能正常提供服務的攻擊。這種攻擊可能就是潑到你服務器上的一杯水，或者網線被拔下，或者網絡的交通堵塞等等，最終的結果是正常用戶不能使用他所需要的服務了，不論本地或者是遠程。我們這里比較關心遠程的，通過網絡進行的DoS攻擊。

    DoS攻擊由于攻擊簡單、容易達到目的、難于防止和追查越來越成為常見的攻擊方式。對它的總體了解，成為有效避免，查找原因，制訂對策提供有用的幫助。
　　
    DoS（Denial of Service）拒絕服務攻擊廣義上可以指任何導致你的服務器不能正常提供服務的攻擊。這種攻擊可能就是潑到你服務器上的一杯水，或者網線被拔下，或者網絡的交通堵塞等等，最終的結果是正常用戶不能使用他所需要的服務了，不論本地或者是遠程。我們這里比較關心遠程的，通過網絡進行的DoS攻擊。

　　網絡應用的普及使我們的工作生活越來越離不開網絡。CRM、ERP、辦公自動化軟件極大的提高了我們工作的效率；通過網絡可以找到各種工作、學習資料；我們上網交電話費，查看銀行帳戶；我們上網交友娛樂。DoS攻擊直接的后果可能就是你不能訪問這些服務了，對某個DNS服務器或者路由器、防火墻的攻擊甚至導致對整個網絡的拒絕服務。下面，就來看看這種攻擊方式如何遠程達到DoS的目的�！�
　
     具體DoS攻擊方法很多，但大多都可以分為以下幾類：

      利用軟件實現的缺陷

　 OOB攻擊（常用工具winnuke），teardrop攻擊（常用工具teardrop.c boink.c bonk.c），land攻擊，IGMP碎片包攻擊，jolt攻擊，Cisco 2600路由器IOS version 12.0(10)遠程拒絕服務攻擊等等，這些攻擊都是利用了被攻擊軟件的實現上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統發送特定類型的一個或多個報文，這些攻擊通常都是致命的，一般都是一擊致死，而且很多攻擊是可以偽造源地址的，所以即使通過IDS或者別的sniffer軟件記錄到攻擊報文也不能找到誰發動的攻擊，而且此類型的攻擊多是特定類型的幾個報文，非常短暫的少量的報文，如果偽造源IP地址的話，使追查工作幾乎是不可能�！�
　
     那么如何造成這些攻擊的？通常是軟件開發過程中對某種特定類型的報文、或請求沒有處理，導致軟件遇到這種類型的報文運行出現異常，導致軟件崩潰甚至系統崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因

  　1997年5月7號有人發布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接，然后發送TCP緊急數據，導致對端系統崩潰。139/TCP是Win95/NT系統最常見的偵聽端口，所以winnuke.c使用了該端口。之所以稱呼這種攻擊為OOB攻擊，因為MSG_OOB標志，實際應該是TCP緊急數據攻擊。

　　原始teardrop.c只構造了兩種碎片包，每次同時發送這兩種UDP碎片包。如果指定發送次數，將完全重復先前所發送出去的兩種碎片包。它可以偽造源ip并跨越路由器進行遠程攻擊，影響的系統包括Linux/WinNT/Win95。使用的方法是：
　 teardrop 源ip 目的ip [-s 源端口] [-d 目的端口] [-n 次數]
　 比較新的一個DoS攻擊是Windows的SMB實現中的DoS攻擊，2002年8月發布，只要允許匿名連接的windows系統就可以進行遠程攻擊，強烈建議Windows用戶打相應的補丁。它的方法就是先和目標系統建立一個連接，然后發送一個特定的請求，目標系統就會蘭屏。發布的測試工具SMBdie.exe是圖形界面工具，輸入目標地址NETBIOS名稱即可。

　從上面的討論可以看出，這種攻擊行為威力很大，而且難于偵察。但真實情況下它的危害僅現于漏洞發布后的不長的時間段內，相關廠商會很快發布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現實的環境中，通常是無效的。不過最新的攻擊方法還是讓我們不寒而栗，我們可以做的就是關注安全漏洞的發布，及時打上新的補丁。如果你想偷懶的話，購買專業安全服務公司的相關服務應該是個更好的選擇。
　
      利用協議的漏洞

　　如果說上面那種漏洞危害的時間不是很長，那么這種攻擊的生存能力卻非常強。為了能夠在網絡上進行互通、互聯，所有的軟件實現都必須遵循既有的協議，而如果這種協議存在漏洞的話，所有遵循此協議的軟件都會受到影響

　 最經典的攻擊是synflood攻擊，它利用TCP/IP協議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟，客戶端發送SYN包給服務器端，服務器分配一定的資源給這里連接并返回SYN/ACK包，并等待連接建立的最后的ACK包，最后客戶端發送ACK報文，這樣兩者之間的連接建立起來，并可以通過連接傳送數據了。而攻擊的過程就是瘋狂發送SYN報文，而不返回ACK報文，服務器占用過多資源，而導致系統資源占用過多，沒有能力響應別的操作，或者不能響應正常的網絡請求。
　　
    這個攻擊是經典的以小搏大的攻擊，自己使用少量資源占用對方大量資源。一臺P4的Linux系統大約能發到30－40M的64字節的synflood報文，而一臺普通的服務器20M的流量就基本沒有任何響應了（包括鼠標、鍵盤）。而且synflood不僅可以遠程進行，而且可以偽造源IP地址，給追查造成很大困難，要查找必須所有骨干網絡運營商，一級一級路由器的向上查找。

　對于偽造源IP的synflood攻擊，除非攻擊者和被攻擊的系統之間所有的路由器的管理者都配合查找，否則很難追查。當前一些防火墻產品聲稱有抗DoS的能力，但通常他們能力有限，包括國外的硬件防火墻大多100M防火墻的抗synflood的能力只有20－30Mbps(64字節syn包)，這里涉及到它們對小報文的轉發能力，再大的流量甚至能把防火墻打死機�，F在有些安全廠商認識到DoS攻擊的危害，開始研發專用的抗拒絕服務產品，讓我們拭目以待吧！

　　 由于TCP/IP協議相信報文的源地址，另一種攻擊方式是反射拒絕服務攻擊，另外可以利用還有廣播地址，和組播協議輔助反射拒絕服務攻擊效果更好。不過大多數路由器都禁止廣播地址和組播協議的地址。

   　另一類攻擊方式是使用大量符合協議的正常服務請求，由于每個請求耗費很大系統資源，導致正常服務請求不能成功。如HTTP協議是無狀態協議，攻擊者構造大量搜索請求，這些請求耗費大量服務器資源，導致DoS。這種方式攻擊比較好處理，由于是正常請求，暴露了正常的源IP地址，禁止這些IP就可以了。

    進行資源比拼

    這種攻擊方式屬于無賴打法，
我憑借著手中的資源豐富，發送大量的垃圾數據侵占完你的資源，導致DoS。比如，ICMP flood，mstream flood，Connection flood。為了獲得比目標系統更多資源，通常攻擊者會發動DDoS（Distributed Dos 分布式拒絕服務）攻擊者控制多個攻擊傀儡發動攻擊，這樣才能產生預期的效果。前兩類攻擊是可以偽造IP地址的，追查也是非常困難，第3種攻擊由于需要建立連接，可能會暴露攻擊傀儡的IP地址，通過防火墻禁止這些IP就可以了。對于難于追查，禁止的攻擊行為，我們只能期望專用的抗拒絕服務產品了。
　
     通過上面的分析，對DoS的攻擊有了簡單的印象，希望為以后遇到攻擊進行相關的處理提供基本的概念。
,

文章來源于領測軟件測試網 http://www.kjueaiud.com/