dos(拒絕服務)

DoS, Denial of Service, 拒絕服務，一種常用來使伺服器或網路癱瘓的網路攻擊手段。

DDoS, Distributed Denial of Service, 分散式拒絕服務攻擊，亦稱作洪水攻擊。

顧名思義，即是利用網路上已被攻陷的電腦作為“殭屍”，向某一特定的目標電腦發動密集式的“拒絕服務”要求，用以把目標電腦的網路資源及系統資源耗盡，使之無法向真正正常請求的用戶提供服務。黑客通過將一個個“喪屍”或者稱為“肉雞”組成殭屍網路（即Botnet），就可以發動大規模DDoS或SYN洪水網路攻擊，或者將“喪屍”們組到一起進行帶有利益的刷網站流量、Email垃圾郵件群發，癱瘓預定目標，使僱主達到攻擊競爭對手為目的的商業活動等。

DDoS攻擊可以具體分成兩種形式：

頻寬消耗型以及資源消耗型，都是透過大量合法或偽造的請求占用大量網路以及器材資源，以達到癱瘓網路以及系統的目的。

DDoS 頻寬消耗攻擊可以分為兩個不同的層次：洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用殭屍程式傳送大量流量至受損的受害者系統，目的在於堵塞其頻寬。放大攻擊也與之類似，通過惡意放大流量限制受害者系統的頻寬；其特點是利用殭屍程式傳送信息，但是信息卻是傳送至廣播 IP 地址，導致系統子網被廣播 IP 地址連線上之後再傳送信息至受害系統。

User Datagram Protocol (UDP) floodsUDP是一種無連線協定，當數據包通過 UDP 傳送時，所有的數據包在傳送和接收時不需要進行握手驗證。當大量 UDP 數據包傳送給受害系統時，可能會導致頻寬飽和從而使得合法服務無法請求訪問受害系統。遭受 DDoS UDP 洪泛攻擊時，UDP 數據包的目的連線埠可能是隨機或指定的連線埠，受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程式在目標連線埠運行，受害系統將對源IP發出 ICMP 數據包，表明“目標連線埠不可達”。某些情況下，攻擊者會偽造源IP位址以隱藏自己，這樣從受害系統返回的數據包不會直接回到殭屍主機，而是被傳送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網路連線，這可能導致受害系統附近的正常系統遇到問題。然而，這取決於網路體系結構和線速。ICMP floodsICMP floods是通過向未良好設定的路由器傳送廣播信息占用系統資源的做法。ping of death是產生超過IP協定能容忍的分組數，若系統沒有檢查機制，就會當機。TearDrop每個數據要傳送前，該分組都會經過切割，每個小切割都會記錄位移的信息，以便重組，但此攻擊模式就是捏造位移信息，造成重組時發生問題，造成錯誤。

協定分析攻擊 (SYN flood)傳送控制協定 (TCP) 同步 (SYN) 攻擊。TCP 進程通常包括傳送者和接受者之間在數據包傳送之前創建的完全信號交換。啟動系統傳送一個 SYN 請求，接收系統返回一個帶有自己 SYN 請求的 ACK （ 確認 ）作為交換。傳送系統接著傳回自己的 ACK 來授權兩個系統間的通訊。若接收系統傳送了 SYN 數據包，但沒接收到 ACK，接受者經過一段時間後會再次傳送新的 SYN 數據包。接受系統中的處理器和記憶體資源將存儲該 TCP SYN 的請求直至逾時。DDoS TCP SYN攻擊也被稱為“資源耗盡攻擊” ,它利用 TCP 功能將殭屍程式偽裝的 TCP SYN 請求傳送給受害伺服器，從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用傳送系統和接收系統間的三向信號交換來傳送大量欺騙性的原 IP 地址 TCP SYN 數據包給受害系統。最終，大量 TCP SYN 攻擊請求反覆傳送，導致受害系統記憶體和處理器資源耗盡，致使其無法處理任何合法用戶的請求。LAND attack這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而當機。CC 攻擊CC 攻擊是 DDoS 攻擊的一種類型，使用代理伺服器向受害伺服器傳送大量貌似合法的請求 （ 通常使用 HTTP GET )。CC (攻擊黑洞)根據其工具命名，攻擊者創造性地使用代理機制，利用眾多廣泛可用的免費代理伺服器發動 DDoS 攻擊。許多免費代理伺服器支持匿名模式，這使追蹤變得非常困難。殭屍網路攻擊殭屍網路是指大量被命令控制型 (C&C) 伺服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成自己的殭屍網路。殭屍網路難於檢測的原因是，殭屍主機只有在執行特定指令時才會與伺服器進行通訊，使得它們隱蔽且不易察覺。殭屍網路根據網路通訊協定的不同分為 IRC、HTTP 或 P2P類等。Application level floods與前面敘說的攻擊方式不同，Application level floods主要是針對套用軟體層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網路服務程式提出無節制的資源申請來迫害正常的網路服務。

20世紀90年代中晚期的DoS活動差不多都是基於利用作業系統里的各種軟體缺陷。這些缺陷大都屬於會導致軟體或硬體無法處理例外的程式設計失誤。這類威脅可以稱為是殺手包或劇毒包(Killer Packet)型威脅，它主要是利用協定本身或者其軟體實現中的漏洞，通過一些非正常的(畸形的)數據包使得受害者系統在處理時出現異常，導致受害者系統崩潰。由於這類威脅主要是利用協定或軟體漏洞來達到威脅效果的，因此，有的也稱這類威脅為漏洞威脅，也有稱之為協定威脅(Protocol Attack)的。此外，由於這類威脅對不法者的運算能力或頻寬沒有要求，一個通過Modem連線的低檔的PC機就可以攻破一個具有高頻寬的大型系統。因此，這類威脅也是一種非對稱DoS威脅。

隨著系統的更新，網路安全技術的進步，在可供利用的安防漏洞越來越少的情況下，現代DoS威脅技術採取一種更直接的戰術——消耗戰(能力消耗、頻寬消耗)，Flood型的威脅方式是這個戰術的最好體現。

拒絕服務

這類威脅可以稱為風暴型(Storm Type)或洪泛型(Flood Type)威脅，不法者通過大量的無用數據包占用過多的資源以達到拒絕服務的目的。這種威脅有時也稱為頻寬威脅(BandwidthAttack)，原因是其常常占用大量的頻寬，即使有時威脅的最終目的是占用系統資源，但在客觀上也會占用大量頻寬。在這類威脅中，有害數據包可以是各種類型的，數據包中的數據也可以是多種多樣的，這些數據包與正常服務的數據包是難以區分的。劇毒包威脅，利用協定實現的漏洞，全過程只需藉助於一個或少量的異常數據包即可達到目的；洪泛威脅的效果完全依賴於數據包的數量，僅當大量的數據包傳到目標系統(受害者)時才有效。

這是一種基於DoS的特殊形式的拒絕服務威脅，是一種分布、協作的大規模威脅方式。不法者通過控制一定數量的傀儡機，向目標主機發起群體威脅，甚至多種威脅類型的混合威脅，這比單一主機發起的DoS威脅威力更大，效果更好。

DRDoS不同於以往的拒絕服務方式，它對DDoS作了改進，它是通過對正常的伺服器進行網路連線請求來達到破壞目的的。從TCP的三次握手中我們知道了任何合法的TCP連線請求都會得到返回數據包，而這種威脅方法就是將這個返回包直接返回到被害的主機上，這裡涉及到數據包內的源口地址問題，就是利用數據包的口地址欺騙方法，欺騙被利用的網路伺服器，讓此伺服器認為TCP請求連線都是被害主機上傳送的，接著它就會傳送“SYN+ACK”數據包給被害主機，惡意的數據包就從被利用的伺服器“反射”到了被害主機上，形成洪水威脅。

與所有的拒絕服務（DOS）攻擊相關的一件事是他們都不可能避免。最好的方法是把重點放在減少影響DOS攻擊的方法上。如果你有一個網路，黑客想要玩一玩它（在最好的情況)，以及攻擊(在最壞的情況)。

有一件最具前瞻性的事情是你可以去做的，那就是不要給任何人提供一種在web伺服器和套用中可以輕易找到，並且容易利用DOS缺陷的方法。最近我負責一個項目，涉及到一個網站的一個頁面，被認為容易受到匿名HTTP代理請的攻擊。

減少DoS攻擊影響的一件最重要的事情是制定計畫。提前考慮如何管理費用安全漏洞，一旦攻擊出現，你就可以讓事情自動得到處理。