拒绝服务攻击 DOS

DOS

Denial of Service
拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDOS

Distributed Denial of service
分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。

SYN Flood

发送大量伪造的TCP连接请求，从而使被攻击方资源耗尽。

正常的三次握手：
A向B发送SYN（我可以连接吗？）
B回复A ACK（可以）+ SYN
A回复B ACK（确认连接）

伪造地址进行SYN请求：
A向B发送SYN（我可以连接吗？）
B回复A ACK+SYN
此时A不回复ACK确认连接，则B一直初遇等待中。

原理：利用TCP三次握手的缺陷。
一个用户向服务器发送了SYN报文后（第一次握手）突然死机或掉线，那么服务器在发出SYN+ACK应答报文后（第二次握手）是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟），当攻击者恶意发送大量的SYN报文，则服务端会消耗大量资源去维护TCP半连接。

解决办法：
1.缩短SYN Timeout
2.给每一个IP设置cookie，如果重复收到某个IP的SYN报文，则认定这个IP为攻击者，以后不再接收他的SYN报文。
(SYN cookie依赖对方使用真实IP地址，一旦对方随机更改地址，则收不到效果）
3.动态分析SYN包，比如可以通过TTL值来推算路由器的跳数。

ICMP Smurf

结合使用IP欺骗和ICMP回复方法使大量网络传输充斥目标系统。
Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

防御：对边界路由器的回音应答（echo reply）信息包进行过滤，然后丢弃他们，使网络避免被湮没。

UDP Flood

UDP攻击原理：使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。

ICMP Ping Flood

Ping是通过发送ICMP报文探寻网络主机是否村后的一个工具。

许多操作系统规定ICMP包最大为64KB

主机A发送ICMP 8，0报文给主机B
主机B回送ICMP报文 0，0给主机A
因为ICMP基于无连结，A伪装成主机C像B发送ICMP报文
则B会以为是主机CICMP Ping Flood
Ping是通过发送ICMP报文探寻网络主机是否村后的一个工具。

许多操作系统规定ICMP包最大为64KB

主机A发送ICMP 8，0报文给主机B
主机B回送ICMP报文 0，0给主机A
因为ICMP基于无连结，A伪装成主机C像B发送ICMP报文
则B会以为是主机C发送的报文而去回应主机C
结构如下：
A >>>>>>>>>>>>>>>>> B >>>>>>>>>>>>>> C
这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply，所以攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目标.

D.D.O.S攻击特性

趋势：
1.越来越多使用IP欺骗
2.多攻击源对单一目标攻击
3.试图绕过防火墙体系
4.利用TCP/IP协议的缺陷进行攻击