拒绝服务攻击（黑客的攻击手段）

拒绝服务攻击

黑客的攻击手段

拒绝服务攻击即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。

原理

SYNFlood

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。

这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。

IP欺骗性攻击

这种攻击利用RST位来实现。假设有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。

服务器接收到这样的数据后，认为从61.61.61.61发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户61.61.61.61再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。

攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。

UDP洪水攻击

攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。

Ping洪流攻击

由于在早期的阶段，路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

teardrop攻击

泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

Land攻击

Land攻击原理是：用一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)。

Smurf攻击

一个简单的Smurf攻击原理就是：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

Fraggle攻击

原理：Fraggle攻击实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。

属性分类

J.Mirkovic和P. Reiher [Mirkovic04]提出了拒绝服务攻击的属性分类法，即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类，根据DoS攻击的这些属性的不同，就可以对攻击进行详细的分类。凡是在攻击开始前就已经确定，在一次连续的攻击中通常不会再发生改变的属性，称为攻击静态属性。

攻击静态属性是由攻击者和攻击本身所确定的，是攻击基本的属性。那些在攻击过程中可以进行动态改变的属性，如攻击的目标选取、时间选择、使用源地址的方式，称为攻击动态属性。而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性，称为攻击交互属性。

交互属性

攻击的动态属性不仅与攻击者的攻击方式、能力有关，也与受害者的能力有关。主要包括攻击的可检测程度和攻击影响。

（1）可检测程度

根据能否对攻击数据包进行检测和过滤，受害者对攻击数据的检测能力从低到高分为以下三个等级：可过滤（Filterable）、有特征但无法过滤（Unfilterable）和无法识别（Noncharacterizable）。

第一种情况是，对于受害者来说，攻击包具有较为明显的可识别特征，而且通过过滤具有这些特征的数据包，可以有效地防御攻击，保证服务的持续进行。

第二种情况是，对于受害者来说，攻击包虽然具有较为明显的可识别特征，但是如果过滤具有这些特征的数据包，虽然可以阻断攻击包，但同时也会影响到服务的持续进行，从而无法从根本上防止拒绝服务。第三种情况是，对于受害者来说，攻击包与其他正常的数据包之间，没有明显的特征可以区分，也就是说，所有的包，在受害者看来，都是正常的。

（2）攻击影响

根据攻击对目标造成的破坏程度，攻击影响自低向高可以分为：无效（None）、服务降低（Degrade）、可自恢复的服务破坏（Self-recoverable）、可人工恢复的服务破坏（Manu-recoverable）以及不可恢复的服务破坏（Non-recoverable）。

如果目标系统在拒绝服务攻击发生时，仍然可以提供正常服务，则该攻击是无效的攻击。如果攻击能力不足以导致目标完全拒绝服务，但造成了目标的服务能力降低，这种效果称之为服务降低。

而当攻击能力达到一定程度时，攻击就可以使目标完全丧失服务能力，称之为服务破坏。服务破坏又可以分为可恢复的服务破坏和不可恢复的服务破坏，网络拒绝服务攻击所造成的服务破坏通常都是可恢复的。

一般来说，风暴型的DDoS攻击所导致的服务破坏都是可以自恢复的，当攻击数据流消失时，目标就可以恢复正常工作状态。而某些利用系统漏洞的攻击可以导致目标主机崩溃、重启，这时就需要对系统进行人工恢复；还有一些攻击利用目标系统的漏洞对目标的文件系统进行破坏，导致系统的关键数据丢失，往往会导致不可恢复的服务破坏，即使系统重新提供服务，仍然无法恢复到破坏之前的服务状态。

动机

与其他类型的攻击一样，攻击者发起拒绝服务攻击的动机也是多种多样的，不同的时间和场合发生的、由不同的攻击者发起的、针对不同的受害者的攻击可能有着不同的目的。这里，把拒绝服务攻击的一些主要目的进行归纳。需要说明的是，这里列出的没有也不可能包含所有的攻击目的；同时，这些目的也不是排他性的，一次攻击事件可能会有着多重的目的。

参考资料

1.拒绝服务攻击的类型·海涛网