DoS攻击原理以及常见方法介绍.docVIP

DoS攻击原理以及常见方法介绍 06级普高网络一班 梁帅 DoS(Denial of Service),意为拒绝服务，指攻击者通过某种手段占用大量网络服务资源，使合理的用户请求得不到响应，导致网络服务不可用。它是通过占用资源达到破坏网络服务为目的。 DoS是目前互联网上威胁最大的攻击方式之一，因为它很大程度上利用了协议本身设计的漏洞，所以很难完全消除。 DoS按照攻击源主机的数量可分为一般DoS和DDoS(Distributed DoS，分布式DoS)。一般DoS攻击源主机为一台；DDoS攻击源主机为一台；DDoS攻击源主机通常为多台被入侵并安装DoS攻击软件的傀儡主机，因为数量众多且相互协作配合，所以攻击能力更强。要想了解DOS攻击的实现机理，必须对TCP有一定的了解。 什么是DOS攻击 拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，呵呵，你想吃馅饼，就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。 比如： * 试图FLOOD服务器，阻止合法的网络通讯 * 破坏两个机器间的连接，阻止访问服务 * 阻止特殊用户访问服务 * 破坏服务器的服务或者导致服务器死机  不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。 TCP连接握手过程。这个过程简单地分为三步。在没有连接中，接受方（我们针对服务器），服务器处于LISTEN状态，等待其他机器发送连接请求。  第一步：客户端发送一个带SYN位的请求，向服务器表示需要连接，比如发送包假设请求序号为10，那么则为：SYN=10，ACK=0，然后等待服务器的响应。 第二步：服务器接收到这样的请求后，查看是否在LISTEN的是指定的端口，不然，就发送RST=1应答，拒绝建立连接。如果接收连接，那么服务器发送确认，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是：SYN=100，ACK=11，用这样的数据发送给客户端。向客户端表示，服务器连接已经准备好了，等待客户端的确认。这时客户端接收到消息后，分析得到的信息，准备发送确认连接信号到服务器 第三步：客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即：SYN=11，ACK=101。  这时，连接已经建立起来了。然后发送数据，。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系，比如SYN、ACK。服务器的缓冲区队列（Backlog Queue）  服务器不会在每次接收到SYN请求就立刻同客户端建立连接，而是为连接请求分配内存空间，建立会话，并放到一个等待队列中。如果，这个等待的队列已经满了，那么，服务器就不在为新的连接分配任何东西，直接丢弃新的请求。如果到了这样的地步，服务器就是拒绝服务了。 如果服务器接收到一个RST位信息，那么就认为这是一个有错误的数据段，会根据客户端IP，把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响，也能被利用来做DOS攻击。 上面的介绍，我们了解TCP协议，以及连接过程。要对SERVER实施拒绝服务攻击，实质上的方式就是有两个： 一， 迫使服务器的缓冲区满，不接收新的请求。 二， 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。 这就是DOS攻击实施的基本思想。 具体实现有这样的方法：  1、SYN FLOOD 利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。  如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。  2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户()已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从发送的连接有错误，就会清空缓冲区中建