如果拋開善惡之分,，單就純粹的技術(shù)而言,，“攻擊”和“入侵”的含義是有很大區(qū)別的。現(xiàn)在很多涉及到網(wǎng)絡(luò)安全技術(shù)的相關(guān)事物里面,，都沒有將兩者嚴(yán)格劃分,，基本都混為一談。

　　“入侵”是指在非授權(quán)的情況下,，試圖存取信息,、處理信息以使系統(tǒng)不可靠、不可用的故意行為,。網(wǎng)絡(luò)上的入侵通常是利用目標(biāo)系統(tǒng)的漏洞,、bug、缺陷而發(fā)起的一種行動,，它的目的是獲得,、修改某些信息、資料或者數(shù)據(jù),。

　　“攻擊”在網(wǎng)絡(luò)安全技術(shù)中是指對目標(biāo)網(wǎng)絡(luò)發(fā)起的,，以目標(biāo)被破壞、停止服務(wù)等為目的的行為,。

　　具體來講,，如果說腳本注入,、緩沖區(qū)溢出等方法屬于技術(shù)性入侵的話,，DoS的相關(guān)內(nèi)容將是屬于最特別也是危害最嚴(yán)重的惡意暴力性攻擊。

　　入侵是一個技術(shù)活,，通過研究和模擬入侵技術(shù)，可以推導(dǎo)出相對應(yīng)的行之有效的防御技術(shù),，是對技術(shù)的整體提升很有幫助的一種研究方法,。如果喜歡網(wǎng)絡(luò)安全技術(shù)的愛好者想要研究各種入侵技術(shù)，可以在本地構(gòu)建環(huán)境,，然后進(jìn)行測試;而攻擊不同,，攻擊基本是屬于一種暴力的、純惡意的破壞行為,，是遭人唾棄并且嚴(yán)格禁止的——特別是DoS和DDoS攻擊!

　　就中國互聯(lián)網(wǎng)的發(fā)展情況看,，DoS和DDoS是從02年開始瘋狂起來的，一直到今天熱度都未曾消退,。利用這種攻擊方式敲詐,、勒索的刑事案件層出不窮，各大新聞媒體都有很多報道,，而發(fā)起這樣攻擊的人，現(xiàn)在也都獲得了應(yīng)有的法律懲罰,。

　　1.1DoS與DDoS的基本概念

　　“DoS”是Denial of Service,，拒絕服務(wù)的縮寫。所謂的拒絕服務(wù)是當(dāng)前網(wǎng)絡(luò)攻擊手段中最常見的一種,。它故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過某種手段耗盡被攻擊對象的資源,，目的是讓目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰,，而最值得注意的是,，攻擊者在此攻擊中并不入侵目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備，單純利用網(wǎng)絡(luò)缺陷或者暴力消耗即可達(dá)到目的,。

　　從原理上來說,，無論攻擊者的攻擊目標(biāo)(服務(wù)器、計算機(jī)或網(wǎng)絡(luò)服務(wù))的處理速度多快,、內(nèi)存容量多大,、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。任何資源都有一個極限,，所以攻擊者總能找到一個方法使請求的值大于該極限值,，導(dǎo)致所提供的服務(wù)資源耗盡。

　　從技術(shù)分類的角度上來說,，最常見的DoS攻擊有對計算機(jī)網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊,。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡,，最后導(dǎo)致合法用戶的請求無法通過,。連通性攻擊指用大量的連接請求沖擊服務(wù)器或計算機(jī),，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求,。

　　在網(wǎng)絡(luò)還不發(fā)達(dá)的時候,，單一的DoS攻擊一般是采用一對一的方式，也就是攻擊者直接利用自己的計算機(jī)或者設(shè)備,，對攻擊目標(biāo)發(fā)起DoS攻擊,。當(dāng)攻擊目標(biāo)處在硬件性能低下、網(wǎng)絡(luò)連接情況不好等情況的時候,，一對一的DoS攻擊效果是非常明顯的,，很有可能直接一個攻擊者就搞定一個網(wǎng)站或者一個服務(wù)器，讓它拒絕服務(wù),。

　　隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,，硬件設(shè)備的處理性能加速度增長，成本也變得非常低廉,，網(wǎng)絡(luò)的快速發(fā)展更是讓帶寬,、出入口節(jié)點寬度等大大的提升，這讓傳統(tǒng)的DoS攻擊很難湊效,。

　　舉個不太確切的例子來說：假使20年以前,，攻擊者利用自己的計算機(jī)對一個目標(biāo)服務(wù)器發(fā)起DoS攻擊，他通過編寫程序,，實現(xiàn)多線程數(shù)據(jù)發(fā)送,，每秒給服務(wù)器發(fā)送5000個數(shù)據(jù)包(示例數(shù)據(jù)，沒有實質(zhì)意義),，服務(wù)器一會就無法正常訪問了;但是換到今天,，就算攻擊者的計算機(jī)使用頂級的個人計算機(jī)硬件，用最好的配置發(fā)起DoS攻擊,，如果采用傳統(tǒng)的攻擊方法的話,，每秒給服務(wù)器發(fā)送20000個數(shù)據(jù)包(示例數(shù)據(jù)，沒有實質(zhì)意義),，但是服務(wù)器每秒已經(jīng)可以輕松的處理20000000個數(shù)據(jù)包了,，這樣的攻擊根本就達(dá)不到想要的拒絕服務(wù)效果。

　　隨著這樣情況的出現(xiàn),，攻擊者研究出了新的攻擊手段,，也就是DDoS。

　　DDoS是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一種新的攻擊方式,，即Distributed Denial Of Service,，分布式拒絕服務(wù)攻擊。

　　如果說計算機(jī)與網(wǎng)絡(luò)的處理能力比以往加大了10倍的話(示例數(shù)據(jù)，沒有實質(zhì)意義),，那攻擊者使用10臺計算機(jī)同時進(jìn)行攻擊呢,？也就達(dá)到了可以讓目標(biāo)拒絕服務(wù)的目的。簡單來說,，DDoS就是利用更多的計算機(jī)來發(fā)起攻擊,。

　　就技術(shù)實現(xiàn)方式來分析，分布式拒絕服務(wù)攻擊就是攻擊者利用入侵手段,，控制幾百臺,，或者成千上萬臺計算機(jī)(一般被控制的計算機(jī)叫做傀儡主機(jī)，或者口頭被網(wǎng)絡(luò)安全相關(guān)人員稱為“肉雞”),，然后在這些計算機(jī)上安裝大量的DDoS程序,。這些程序接受來自攻擊者的控制命令，攻擊者同時啟動全部傀儡主機(jī)向目標(biāo)服務(wù)器發(fā)起拒絕服務(wù)攻擊,，形成一個DoS攻擊群,，猛烈的攻擊目標(biāo)，這樣能極為暴力的將原本處理能力很強(qiáng)的目標(biāo)服務(wù)器攻陷,。

　　通過上面的分析,，可以看出DDoS與DoS的最大區(qū)別是數(shù)量級的關(guān)系，DoS相對于DDoS來說就像是一個個體,，而DDoS是無數(shù)DoS的集合,。另一方面，DDoS攻擊方式較為自動化,，攻擊者可以把他的程序安裝到網(wǎng)絡(luò)中的多臺機(jī)器上，所采用的這種攻擊方式很難被攻擊對象察覺,，直到攻擊者發(fā)下統(tǒng)一的攻擊命令,，這些機(jī)器才同時發(fā)起進(jìn)攻?？梢哉fDDoS攻擊是由黑客集中控制發(fā)動的一組DoS攻擊的集合,，現(xiàn)在這種方式被認(rèn)為是最有效的攻擊形式，并且非常難以抵擋,。

　　1.2經(jīng)典DoS攻擊類型

　　DoS攻擊存在很多經(jīng)典的種類,，從理清技術(shù)發(fā)展脈絡(luò)的角度，下面簡單介紹了他們的名稱,、原理和基本的攻擊方式,。

　　1.2.1死亡之ping

　　“ping of death”又稱“死亡之ping”，之所以第一個首先列舉它,，是因為很久以前,，被網(wǎng)絡(luò)媒體夸大的轟轟烈烈的“中美黑客大戰(zhàn)”上，主要的攻擊方式就是他,。其實死亡之ping是利用的ICMP?，F(xiàn)在微軟系列操作系統(tǒng)中的命令行中都有ping存在,，ping程序?qū)嶋H就是使用的ICMP。本來在正常的情況下,，TCP/IP的RFC文檔中對包的最大尺寸都有嚴(yán)格限制規(guī)定,，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP 包大小為64KB，且在對包的標(biāo)題頭進(jìn)行讀取之后,，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū),。但是“Ping of Death”故意產(chǎn)生畸形的測試Ping包，加載的尺寸超過64KB的上限,，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤,，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終達(dá)到目標(biāo)拒絕服務(wù)的目的,。

　　1.2.2淚滴

　　“teardrop”,又稱“淚滴”：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時,，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊,。第一個包的偏移量為0,，長度為N，第二個包的偏移量小于N,。為了合并這些數(shù)據(jù)段,，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動,，達(dá)到攻擊者需要的拒絕服務(wù)的目的,。

　　1.2.3 UDP洪水

　　“UDP flood”又稱“UDP洪水”：UDP flood最開始一般應(yīng)用在針對UNIX類的服務(wù)器上，攻擊者通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP 連接,，回復(fù)地址指向開著Echo 服務(wù)的一臺主機(jī),，通過將Chargen 和Echo服務(wù)互指，來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù),，在兩臺主機(jī)之間生成足夠多的無用數(shù)據(jù)流,，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。

　　1.2.4 SYN洪水

　　“SYN flood”又稱“SYN洪水”：當(dāng)用戶進(jìn)行一次標(biāo)準(zhǔn)的TCP(Transmission Control Protocol)連接時,，會有一個三次握手的過程,。首先請求服務(wù)方發(fā)送一個SYN消息，服務(wù)方收到SYN后,，會向請求方回送一個SYN-ACK表示確認(rèn),，當(dāng)請求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個ACK消息,，這樣下來一次TCP連接就建立成功了,。

　　“SYN Flood”專門針對TCP協(xié)議棧在兩臺主機(jī)間初始化連接握手的過程進(jìn)行DoS攻擊，它在實現(xiàn)過程中只進(jìn)行前2個步驟：當(dāng)服務(wù)方收到請求方的SYN-ACK確認(rèn)消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng),，于是服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài),。而對于某臺服務(wù)器來說，可用的TCP連接是有限的,，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接,，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng),，直至緩沖區(qū)里的連接企圖超時,。如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務(wù)器可用的TCP連接隊列將很快被阻塞,，系統(tǒng)可用資源急劇減少,，網(wǎng)絡(luò)可用帶寬迅速縮小，長此下去,，除了少數(shù)幸運用戶的請求可以插在大量虛假請求間得到應(yīng)答外,，服務(wù)器將無法向用戶提供正常的合法服務(wù)。

　　這個攻擊方式到今天都有很多攻擊者使用,，后續(xù)的章節(jié)中我們將對此攻擊方式進(jìn)行詳細(xì)分析,。

　　1.2.5 IP欺騙攻擊

　　這種攻擊利用TCP協(xié)議棧的RST來實現(xiàn)，使用IP欺騙迫使服務(wù)器把合法用戶的連接復(fù)位,，影響合法用戶的連接,。假設(shè)現(xiàn)在有一個合法用戶(123. 123. 123. 123)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),，偽裝自己的IP為123. 123. 123. 123,，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,，認(rèn)為從123. 123. 123. 123發(fā)送的連接有錯誤,，就會清空緩沖區(qū)中已建立好的連接。這時,，合法用戶123. 123. 123. 123再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了,，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接,。

　　1.3新型DDoS攻擊分類

　　隨著技術(shù)的發(fā)展，很多新的防范技術(shù)和硬件層出不窮的推出,，以往老舊的DoS攻擊方式已經(jīng)被淘汰了很多,，極少數(shù)單一的DoS攻擊還頑強(qiáng)的存在著，但是DDoS攻擊開始取代DoS,，更多新的DDoS攻擊方式出現(xiàn)了,。

　　從技術(shù)類別上將，目前的網(wǎng)絡(luò)情況中，DoS和DDoS當(dāng)前主要有三種流行的概括性分類,。

　　1.3.1經(jīng)過升級和變化的SYN/ACK Flood攻擊,。

　　這種攻擊方法是經(jīng)典最有效的DoS方法，從原理上來說是可以通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),，因為它的技術(shù)核心是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包,，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。

　　原本單一的DoS攻擊比較好防御,，但是攻擊者將整個攻擊方式應(yīng)用到了DDoS中,，利用龐大的僵尸網(wǎng)絡(luò)來發(fā)起這樣的攻擊，使整個攻擊方式的威力得打極大的提升,，是今天依然很流行的一種DDoS攻擊方式,。

　　1.3.2TCP全連接攻擊。

　　在很多防火墻產(chǎn)品開始為網(wǎng)絡(luò)提供保護(hù)以后,，出現(xiàn)了這種新的DDoS攻擊方式,，可以說它就是為了繞過或者突破常規(guī)防火墻阻擋而存在的。

　　一般情況下,，常規(guī)防火墻大多具備過濾TearDrop,、Land等傳統(tǒng)DoS攻擊的技術(shù)能力，但是他們對用戶正常的TCP連接是允許通過的,，也就是說對用戶的正常訪問不限制,。但是很多網(wǎng)絡(luò)服務(wù)程序，比如IIS,、Apache等Web服務(wù)器能接受的TCP連接數(shù)是有限的,，一旦有大量的TCP連接，即便是正常的,，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至拒絕服務(wù)無法訪問,。TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與被攻擊服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨,，從而造成拒絕服務(wù),。

　　這種攻擊的特點是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點是需要找很多僵尸主機(jī),，并且由于僵尸主機(jī)的IP是暴露的,，因此容易被追蹤。

　　1.3.3基于腳本的DDoS攻擊

　　基于腳本的DDoS攻擊是很新的一種攻擊技術(shù),，它主要針對的是ASP,、JSP、PHP,、CGI等腳本程序,，利用腳本程序一般都需要調(diào)用Microsoft SQL Server,、MySQL、Oracle等數(shù)據(jù)庫的情況,，利用正常的腳本功能,，和服務(wù)器建立絲毫沒有異常的TCP連接，不斷的向腳本程序提交查詢,、列表等大量耗費數(shù)據(jù)庫資源的請求,，以攻擊者極小的資源消耗，迫使服務(wù)器承受極大的運行壓力,，以達(dá)到拒絕服務(wù)的目的,。

　　一般來說，用戶提交一個GET或POST請求,，對用戶自己來說,，耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從數(shù)據(jù)庫的上萬條記錄中去查出這個記錄,，這種處理過程對資源的耗費相對于用戶來說是比較大的,而對于用戶來說消耗卻是很小的,。因此攻擊者只需通過代理向主機(jī)服務(wù)器大量遞交查詢或者消耗資源比較大的請求，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù),。

　　這種攻擊的特點是可以完全繞過普通的防火墻防護(hù),，輕松找一些代理或者代理服務(wù)器就可實施攻擊。,、

　　1.3.4穿專業(yè)的抗DDoS防火墻

　　這種攻擊手法是將來流行的攻擊方法,，利用抗DDoS防火墻本身弱點發(fā)起的新型攻擊手段，都在試圖穿過抗DDoS防火墻,。但現(xiàn)在這種技術(shù)都在圈內(nèi),，不對外公布，所以知道的人了了無幾,，如果這種方法及工具流出的話,，將會引起一場安全界內(nèi)的動蕩。

　　這就是常見的DoS/DDoS攻擊手段,，有不對不處望朋友指正,。