DoS攻击原理和防御方法范例.docx

DoS攻击原理和防御方法 TCP/IP协议的权限DoS (拒绝服务攻击)----- Denial of Service 　　该攻击的原理是利用TCP报文头来做的文章. 　　 　　 　　下面是TCP数据段头格式。 　　Source Port和 Destination Port :是本地端口和目标端口 　　Sequence Number 和 Acknowledgment Number ：是顺序号和确认号，确认号是希望接收的字节号。这都是32位的，在TCP流中，每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字，用来确定头的长度，因为头中可选字段长度是不定的。Reserved : 保留的我不是人，现在没用，都是0 　　接下来是6个1位的标志，这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍： URG：（Urgent Pointer field significant）紧急指针。用到的时候值为1，用来处理避免TCP数据流中断ACK：（Acknowledgment field significant）置1时表示确认号（Acknowledgment Number）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。 　　PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。 　　RST：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。 　　SYN：（Synchronize sequence numbers）用来建立连接，在连接请求中，SYN=1，CK=0，连接响应时，SYN=1， 　　ACK=1。即，SYN和ACK来区分Connection Request和Connection Accepted。 　　FIN：（No more data from sender）用来释放连接，表明发送方已经没有数据发送。 　　TCP三次握手模型： 　　 　　我们进入比较重要的一部分：TCP连接握手过程。这个过程简单地分为三步。在没有连接中，接受方（我们针对服务器），服务器处于LISTEN状态，等待其他机器发送连接请求。 　　第一步：客户端发送一个带SYN位的请求，向服务器表示需要连接，比如发送包假设请求序号为10，那么则为：SYN=10，ACK=0，然后等待服务器的响应。 　　第二步：服务器接收到这样的请求后，查看是否在LISTEN的是指定的端口，不然，就发送RST=1应答，拒绝建立连接。如果接收连接，那么服务器发送确认，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是：SYN=100，ACK=11，用这样的数据发送给客户端。向客户端表示，服务器连接已经准备好了，等待客户端的确认这时客户端接收到消息后，分析得到的信息，准备发送确认连接信号到服务器 　　第三步：客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即：SYN=11，ACK=101。 　　这时，连接已经建立起来了。然后发送数据，SYN=11，ACK=101DATA。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系，比如SYN、ACK。 　　服务器不会在每次接收到SYN请求就立刻同客户端建立连接，而是为连接请求分配内存空间，建立会话，并放到一个等待队列中。如果，这个等待的队列已经满了，那么，服务器就不在为新的连接分配任何东西，直接丢弃新的请求。如果到了这样的地步，服务器就是拒绝服务了。 　　如果服务器接收到一个RST位信息，那么就认为这是一个有错误的数据段，会根据客户端IP，把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响，也能被利用来做DOS攻击。 　　有了TCP的基础和三次握手协商流程,那么DoS就是利用这其中的漏洞进行攻击的.下面就是DOS的攻击原理了： 　　上面的介绍，我们了解TCP协议，以及连接过程。要对SERVER实施拒绝服务攻击，实质上的方式就是有两个： 　　一， 迫使服务器的缓冲区满，不接收新的请求。 　　二， 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接 　　这就是DOS攻击实施的基本思想。具体实现有这样的方法： 　　1、SYN FLOOD 　　利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓