會計學1DoS攻擊原理及防御方法Internet的出現(xiàn)和不斷強大讓通訊變得前所未有的便捷，也讓地球變成了一個村落。但是，在Internet發(fā)展壯大的同時，網(wǎng)絡系統(tǒng)也積下了無數(shù)的漏洞和缺陷，也正是這些缺陷和漏洞給今天的Internet留下了巨大的安全隱患，給予了破壞網(wǎng)絡的“黑客”們巨大的機會和誘惑，破壞網(wǎng)絡的攻擊方式和手段層出不窮，針對這些漏洞和缺陷的攻擊軟件更是起了“推波助瀾”的作用。雖然，一些漏洞和缺陷在Internet的壯大和完善的過程中被修補和完善，但是，還是有部分漏洞和缺陷隨著Internet的壯大而“壯大”，而且針對這些漏洞和缺陷的攻擊手段、方式和軟件也在不斷進步，基于Internet最核心的協(xié)議——TCP/IP協(xié)議的缺陷的DoS（拒絕服務攻擊）就是其中一個。前言：第1頁/共12頁1.1Dos攻擊及其實現(xiàn)方式：什么是DoS攻擊？

DoS是DenialofService的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。早期的DoS攻擊常為攻擊者在自己的及其或者被其控制的單一計算機上安裝DoS攻擊軟件，對目標計算機或者服務器進行拒絕服務攻擊第2頁/共12頁什么是DoS攻擊？

1.2DDoS攻擊及其實現(xiàn)方式：

分布式拒絕服務(DDoS:DistributedDenialofService)攻擊是指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。第3頁/共12頁什么是DoS攻擊？

1.3.1制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡擁塞，使被攻擊主機無法正常和外界通信。

1.3.2利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷，反復高頻的發(fā)出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。

1.3.3利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。1.3攻擊原理

第4頁/共12頁什么是DoS攻擊？

1.4攻擊手段

1.4.1Synflood：1.4.2Smurf：1.4.3Land-based：1.4.4PingofDeath：1.4.5Teardrop：1.4.6PingSweep：1.4.7Pingflood：該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYNACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如ICMP回應請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機的宕機。IP數(shù)據(jù)包在網(wǎng)絡傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。使用ICMPEcho輪詢多個主機。該攻擊在短時間內向目的主機發(fā)送大量ping包，造成網(wǎng)絡堵塞或主機資源耗盡。第5頁/共12頁什么是DoS攻擊？

1.3攻擊后果

當目標主機受到DoS的成功攻擊后，通常會響應速度變慢或停止響應，連合法用戶都不能訪問該主機，嚴重的還會造成目標主機的重新啟動、死機甚至崩潰。第6頁/共12頁2、典型DoS攻擊軟件介紹2.1HGOD：HGOD是在[命令提示行]中進行UDP/ICMP/IGMP各端口或端口段攻擊的DoS軟件，可以手工設定攻擊時間、攻擊目標端口（支持多端口同時攻擊）、攻擊時發(fā)送的數(shù)據(jù)包大小、包發(fā)送間隔時間、網(wǎng)絡速度、源IP變化范圍等參數(shù)第7頁/共12頁2、典型DoS攻擊軟件介紹2.2DDoSer：DDoSer屬于分布式拒絕服務攻擊軟件，采用的是與普通DDoS軟件不同的另一種結構，軟件分為生成器(DDoSMaker.exe)與DDoS攻擊者程序(DDoSer.exe)兩部分。軟件在下載安裝后沒有DDoS攻擊者程序的(只有生成器DDoSMaker.exe)，DDoS攻擊者程序要通過生成器進行生成。生成時，可以自定義攻擊目標的域名或IP地址、端口等設置（如右圖）。DDoS攻擊者程序默認的文件名為DDoSer.exe，可以在生成時或生成后任意改名。第8頁/共12頁3、DoS攻擊的防御DoS攻擊幾乎是從互聯(lián)網(wǎng)絡的誕生以來，就伴隨著互聯(lián)網(wǎng)絡的發(fā)展而一直存在也不斷發(fā)展和升級，而且DoS攻擊工具可以輕易地在互聯(lián)網(wǎng)上獲得，所以任何一個上網(wǎng)者都可能構成網(wǎng)絡安全的潛在威脅。DoS攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡安全帶來重大的威脅。然而從某種程度上可以說，DoS攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。但是，可以根據(jù)造成缺陷和漏洞的原因來預防和避免DoS攻擊：1．軟件弱點是包含在操作系統(tǒng)或應用程序中與安全相關的系統(tǒng)缺陷安裝hotfix或者SP2．錯誤配置也會成為系統(tǒng)的安全隱患修改網(wǎng)絡/系統(tǒng)相關配置3．重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支付能力時就會造成拒絕服務攻擊。第9頁/共12頁結語：由于30多年前制定的Internet的核心協(xié)議族——TCP/IP沿用至今，許多TCP/IP協(xié)議族中的固有缺陷和漏洞還將繼續(xù)存在，攻擊者也會繼續(xù)研究和利用這些漏洞、缺陷來攻擊網(wǎng)絡系統(tǒng)。加之，計算機軟硬件系統(tǒng)變得越來越復雜，不可避免地導致了由于人為疏忽出現(xiàn)的軟硬件漏洞，而且也正是因為這些協(xié)議本身和計算機系統(tǒng)的軟硬件的缺陷和漏洞給了攻擊者可乘之機，DoS的攻擊手段也不斷地“