拒絕服務(wù)攻擊全攻略方法詳解最新發(fā)布完整版

1、 拒絕服務(wù)攻擊縱觀網(wǎng)絡(luò)安全攻擊的各種方式方法，其中 DDoS 類的攻擊會給你的網(wǎng)絡(luò)系統(tǒng)造成更大的危害。因此，了解DDoS，了解它的工作原理及防范措施，是一個計算機網(wǎng)絡(luò)安全技術(shù)人員應(yīng)必修的內(nèi)容之一。一、DDoS 的概念要想理解 DDoS 的概念，我們就必須先介紹一下 DoS（拒絕服務(wù)） ，DoS 的英文全稱是 Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS 算是一種很簡單但

2、又很有效的進攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分 Internet 連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。DoS 攻擊的原理如圖 1 所示。 圖 1 從圖 1 我們可以看出 DoS 攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是

3、偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。DDoS（分布式拒絕服務(wù)） ，它的英文全稱為 Distributed Denial of Service，它是一種基于 DoS 的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索

4、引擎和政府部門的站點。從圖 1 我們可以看出 DoS 攻擊只要一臺單機和一個 modem 就可實現(xiàn)，與之不同的是 DDoS 攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDoS 的攻擊原理如圖 2 所示。 解決辦法：關(guān)掉不必要的 TCP/IP 服務(wù)，還有就是對防火墻進行配置，阻斷來自 Internet 的請求這些服務(wù)的UDP 請求。4.SYN 洪水（SYN flood）利用 TC

5、P 連接機制的攻擊。該攻擊以多個隨機的源主機地址向目的主機發(fā)送 SYN 包，而在收到目的主機的SYN ACK 后并不回應(yīng)，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到 ACK 一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。解決辦法：在防火墻上過濾來自同一主機的后續(xù)連接，當然還要根據(jù)實際的情況來判斷。5.Land 攻擊利用 Land 攻擊時，一個特別的 SYN 包它的原地址和目標地址都被設(shè)置成某

6、一個服務(wù)器地址，此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送 SYN-ACK 消息，結(jié)果這個地址又發(fā)回 ACK 消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉，解決辦法：打最新的補丁。6.Smurf 攻擊smurf 攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的 ICMP 應(yīng)答請求數(shù)據(jù)包來淹沒受害主機的方式進行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此 ICMP 應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。解決辦法：去掉 ICMP 服務(wù)。7.Fragg