Dos与DDOS都是攻击目标服务器、网络服务的一种方式。
Dos是(Denial of Service)的简称,即拒绝服务式攻击。一切能引起DOS行为的攻击都被称为Dos攻击。该攻击的效果是使得计算机或网络无法提供正常的服务。
而DDOS是分布式拒绝服务攻击;它是在DOS基础上进行的大规模,使用多台计算机进行大规模的攻击。
属于DoS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU
和内存资源。对于TCP连接而言,当服务器接收到连接请求(SYN=i )时,则将此信
息加入未连接队列,并发送请求包给客户端( SYN=j,ACK=i+1 ),此时进入
SYN_RECV 状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,
才将此条目从未连接队列删除。
通常此攻击的方式是:利用特殊的程序,设置TCP的Header,向服务器源源不断的
发送只有SYN标志的TCP连接请求,当服务器接收时,于是为这些请求建立会话,并
把它们全部加入未连接队列中并等待客户的确认,由于源地址是不存在的,服务器
需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,而正常的
SYN 请求被丢弃,那么服务器就不能接收其他正常用户的请求了。而且SYN攻击除
了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目
标是什么系统,只要这些系统打开TCP服务就可以实施。
这种攻击利用TCO协议栈的RST位来实现,假设有有个合法的用法(1.1.1.1)已经与服
务器建立了连接,攻击者构造攻击的TCP数据,伪装自己的ip为1.1.1.1,并向服务
器发送有一个带有RST位的TCP数据段,服务器接收到这样的数据后,认为从1.1.1.1
发送的连接有错误,就会清空缓冲区中已经建立好的连接,这时,合法用户1.1.1.1
再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新
开始建立新的连接。
对于一些大的IP包,在传输时需要对其进行分片传送,这是在传输过程中在链路层有
对包大小的要求,MTU(最大传输单元)。比如,一个4500字节的IP包,在MTU为
1500的链路上传输的时候,就需要分成三个IP包。
而在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面
这个IP包被切分了,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个4500字节的IP包进行分片(MTU为1500),则三个片断中偏移字段的值
依次为:0,1500,3000。这样接收端就可以根据这些信息成功的组装该IP包。
如果攻击者把偏移字段设置成不正确的值,就可能导致目标操作系统崩溃。
服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们
如果连接带宽足够大而服务器又不是很大,可以发送请求,来消耗服务器的缓冲区消
耗服务器的带宽。
升级服务器硬件
ICMP在Internet上用于错误处理和传递控制信息。最普通的ping程序就是这个功能。
而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定,许多操作系统的TCP/IP
协议栈都规定ICMP包大小为64KB,且在对包的标题头进行读取之后,要根据该标题
头里包含的信息来为有效载荷生成缓冲区。“PingofDeath”就是故意产生畸形的测试
Ping(PackeTInternetGroper)包,声称自己的尺寸超过ICMP上限,也就是加载的
尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP
协议栈崩溃,最终接收方宕机。
现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
此攻击以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包,造成目标主机不能处理其他正常的IP报文。
此攻击在短时间内向目的主机发送大量的ping的echo报文,主机不断响应,造成网络堵塞,主机资源耗尽。
上面已经介绍。
在短时间内模拟随机的源端口地址向随机的目的端口发送大量的UPD包,造成目标机不能处理其他UDP请求。