拒絕服務攻擊全攻略方法詳解最新發(fā)布完整版

1、 拒絕服務攻擊縱觀網絡安全攻擊的各種方式方法，其中 DDoS 類的攻擊會給你的網絡系統(tǒng)造成更大的危害。因此，了解DDoS，了解它的工作原理及防范措施，是一個計算機網絡安全技術人員應必修的內容之一。一、DDoS 的概念要想理解 DDoS 的概念，我們就必須先介紹一下 DoS（拒絕服務） ，DoS 的英文全稱是 Denial of Service，也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS 算是一種很簡單但

2、又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分 Internet 連接和網絡系統(tǒng)失效。DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DoS 攻擊的原理如圖 1 所示。 圖 1 從圖 1 我們可以看出 DoS 攻擊的基本過程：首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是

3、偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。DDoS（分布式拒絕服務） ，它的英文全稱為 Distributed Denial of Service，它是一種基于 DoS 的特殊形式的拒絕服務攻擊，是一種分布、協作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索

4、引擎和政府部門的站點。從圖 1 我們可以看出 DoS 攻擊只要一臺單機和一個 modem 就可實現，與之不同的是 DDoS 攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDoS 的攻擊原理如圖 2 所示。 解決辦法：關掉不必要的 TCP/IP 服務，還有就是對防火墻進行配置，阻斷來自 Internet 的請求這些服務的UDP 請求。4.SYN 洪水（SYN flood）利用 TC

5、P 連接機制的攻擊。該攻擊以多個隨機的源主機地址向目的主機發(fā)送 SYN 包，而在收到目的主機的SYN ACK 后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到 ACK 一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。解決辦法：在防火墻上過濾來自同一主機的后續(xù)連接，當然還要根據實際的情況來判斷。5.Land 攻擊利用 Land 攻擊時，一個特別的 SYN 包它的原地址和目標地址都被設置成某

6、一個服務器地址，此舉將導致接受服務器向它自己的地址發(fā)送 SYN-ACK 消息，結果這個地址又發(fā)回 ACK 消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉，解決辦法：打最新的補丁。6.Smurf 攻擊smurf 攻擊通過使用將回復地址設置成受害網絡的廣播地址的 ICMP 應答請求數據包來淹沒受害主機的方式進行，最終導致該網絡的所有主機都對此 ICMP 應答請求作出答復，導致網絡阻塞。解決辦法：去掉 ICMP 服務。7.Fragg