隨著互聯(lián)網(wǎng)在人們生活中的地位越來越重要,，圍繞互聯(lián)網(wǎng)產(chǎn)生的網(wǎng)絡(luò)安全問題也日益引起了社會的重視。在人們看不見的世界里,，網(wǎng)絡(luò)的攻擊者與防御者們,，正在進(jìn)行著一場場激烈的爭斗。因此,，為了讓大家了解網(wǎng)絡(luò)攻防的一些基本知識,，我們將會在一系列文章里，將常見的一些網(wǎng)絡(luò)攻防技術(shù)介紹給大家,。

拒絕服務(wù)攻擊（Denial-of-Service,，Dos）是一種非常常見的攻擊方式，因?yàn)榉?wù)器的處理能力和帶寬都是有限的,，因此一些不法份子,，會通過拒絕服務(wù)攻擊來癱瘓對方的服務(wù)器，從而達(dá)到自己的目的,。尤其是目前主流的分布式拒絕服務(wù)攻擊（Distributed Denial-of-Service,，DDos）更是具有易實(shí)施,、難防范、難追蹤的特點(diǎn),，從而成為攻擊者實(shí)施破壞攻擊最有效的方式之一,。

很多公司都被不法分子進(jìn)行過DDos攻擊，比如說2015年9月,，阿里云發(fā)生自建立以來最大的一次DDoS攻擊,，峰值達(dá)到了453.8 Gbps、高達(dá) 5 億次的攻擊,，被阿里內(nèi)部稱為901事件,。引起了業(yè)界的轟動。2011年6月2日下午5點(diǎn)到6點(diǎn)之間,，美團(tuán)也遭受了來源不明的DDos攻擊,，造成了當(dāng)時(shí)的美團(tuán)網(wǎng)無法被訪問。造成了嚴(yán)重的經(jīng)濟(jì)損失,。

廣義而言,，拒絕服務(wù)攻擊泛指一切導(dǎo)致目標(biāo)服務(wù)不可用的攻擊手段。在此類攻擊中,，攻擊者主要利用軟件漏洞,、協(xié)議缺陷或者是消耗服務(wù)器資源的方法來達(dá)到破壞服務(wù)可用性的目的。目前,，資源消耗性的拒絕服務(wù)攻擊更為常見,。

一、拒絕服務(wù)攻擊的分類

1．漏洞型拒絕服務(wù)攻擊

漏洞型拒絕服務(wù)攻擊,，指利用軟件實(shí)現(xiàn)中的漏洞,，致命服務(wù)崩潰或者系統(tǒng)異常。由于很多軟件在開發(fā)過程中,，有設(shè)計(jì)不合理的地方,，或者是引用的第三方庫被發(fā)現(xiàn)有漏洞。這些都有可能導(dǎo)致服務(wù)器遭到攻擊,。

2．重定向型拒絕服務(wù)攻擊

重定向型拒絕服務(wù)攻擊指利用網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺陷,，通過修改ARP緩存、DNS緩存等網(wǎng)絡(luò)關(guān)鍵參數(shù),，使目標(biāo)傳輸?shù)臄?shù)據(jù)被得定向至錯誤的網(wǎng)絡(luò)地址,，從而無法進(jìn)行正常的網(wǎng)絡(luò)通信。這種方式通常需要攻擊者具有一定的權(quán)限或者特殊條件,。

3．資源消耗型拒絕服務(wù)攻擊

資源消耗型拒絕服務(wù)攻擊通過大量的請求,，占用網(wǎng)絡(luò)帶寬或系統(tǒng)資源，從而導(dǎo)致服務(wù)可用性下降甚至喪失。在客觀條件的限制下,，網(wǎng)絡(luò)服務(wù)所信賴的各類資源,，如網(wǎng)絡(luò)帶寬、計(jì)算能力,、存儲空間等,，都是有限的。這類攻擊通過大量無用的流量或者是偽造的請求來消耗有限的服務(wù)資源,，從而使得正常用戶無法使用,。

二、典型拒絕服務(wù)攻擊技術(shù)

1．傳統(tǒng)的拒絕服務(wù)攻擊

（1）Ping of Death：主要針對存在漏洞的早期服務(wù)器系統(tǒng),，通過向其發(fā)送超長的IP數(shù)據(jù)包導(dǎo)致目標(biāo)系統(tǒng)拒絕服務(wù),。

（2）TearDrop：利用IP包的分片重組在多個(gè)操作系統(tǒng)協(xié)議棧中實(shí)現(xiàn)時(shí)存在的漏洞，使得存在漏洞的TCP/IP堆棧分配巨大資源進(jìn)行偏移地址重疊的數(shù)據(jù)包分片重組,。從而達(dá)到癱瘓服務(wù)的目的。

（3）WinNuke：向Windows操作系統(tǒng)的服務(wù)器發(fā)送超量數(shù)據(jù),。也稱帶外傳輸攻擊,。

（4）乒乓攻擊：該攻擊設(shè)法在兩個(gè)能夠自動交互的服務(wù)器端偽造雙方的通信信息，從而在兩個(gè)服務(wù)器之間產(chǎn)生大量的無用報(bào)文,。

2．洪泛攻擊

洪泛攻擊是通過快速發(fā)送大量數(shù)據(jù)包,，消耗目標(biāo)服務(wù)可用資源的一類拒絕服務(wù)攻擊的統(tǒng)稱，因大量數(shù)據(jù)包的快速到來如同洪水一樣而得名,。主要方式有TCP洪泛,、UDP洪泛、HTTP洪泛等,。

3．低速率拒絕服務(wù)攻擊

低速率拒絕服務(wù)攻擊（Low-rate Denial-of-Service,，LDos）是利用網(wǎng)絡(luò)協(xié)議或應(yīng)用服務(wù)協(xié)議中的自適應(yīng)機(jī)制存在的安全問題，通過周期性地發(fā)送高速脈沖攻擊數(shù)據(jù)包,，達(dá)到降低被攻擊主機(jī)服務(wù)性能的目的,。主要方式有TCP擁塞控制攻擊等。

三,、分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（DDos）是指采用協(xié)作的方式,，利用網(wǎng)絡(luò)中分布的大量主機(jī)向目標(biāo)發(fā)起的拒絕服務(wù)攻擊。

1．基于僵尸網(wǎng)絡(luò)的DDos攻擊

僵尸網(wǎng)絡(luò)是指攻擊者出于惡意目的,，傳播僵尸程序控制大量主機(jī),，并通過命令與控制信道組成的網(wǎng)絡(luò)。被安裝了僵尸網(wǎng)絡(luò)程序的電腦主機(jī),，可以在控制者的指令之下,，向某個(gè)服務(wù)發(fā)起不間斷的請求。世界上受控的僵尸網(wǎng)絡(luò)規(guī)模較大的可以達(dá)到數(shù)千萬臺主機(jī)，給網(wǎng)絡(luò)安全帶來了巨大的威脅,。

2．分布式反射拒絕服務(wù)攻擊

攻擊者將網(wǎng)絡(luò)中的一些提供網(wǎng)絡(luò)服務(wù)的主機(jī)作為攻擊的反射器,，利用反射器將大量響應(yīng)包匯集到被攻擊的服務(wù)器上。這種攻擊方式由于能夠借助反射器產(chǎn)生攻擊流的放大效應(yīng),，因此也被稱為放大型攻擊,。

四、拒絕服務(wù)攻擊的防御手段

拒絕服務(wù)攻擊的防御手段可以分為預(yù)防,、檢測,、響應(yīng)與容忍四類。

1．拒絕服務(wù)攻擊預(yù)防

通過打擊僵尸網(wǎng)絡(luò),，在路由器端過濾偽造源地址報(bào)文,、減少可用反射器等，可以起到一定的預(yù)防效果,。

2．拒絕服務(wù)攻擊檢測

在攻擊過程中檢測攻擊報(bào)文,，將其與正常報(bào)文進(jìn)行區(qū)分，直接丟棄報(bào)文而不消耗服務(wù)器資源對其進(jìn)行響應(yīng),。

3．拒絕服務(wù)攻擊響應(yīng)

也稱為流量清洗,，在目標(biāo)服務(wù)器和客戶之間提供流量清洗代理，預(yù)處理來自客戶的請求,。這些代理一般部署上上游ISP處,，利用其帶寬與資源優(yōu)勢，對客戶端協(xié)議完整性和真實(shí)性進(jìn)行檢驗(yàn),，從而達(dá)到清洗攻擊流量的目的,。

4．拒絕服務(wù)攻擊容忍

通過提高處理請求的能力來消除攻擊的影響。比較常見的技術(shù)包括內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network,，CDN）和任播（Anycast）技術(shù),。

喜歡本文的話，歡迎關(guān)注活在信息時(shí)代哦：）