拒绝服务

通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务的现象。

服务：是指系统提供的,用户在对其使用中会受益的功能。

拒绝服务(denial of service，DoS)：任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃、或其带宽耗尽、或其硬盘填满,导致其不能提供正常的服务,就构成拒绝服务。

拒绝服务攻击：是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。

分布式拒绝服务(DDoS)攻击：如果处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。

DDoS网络：指DDoS攻击中牵涉的各方,它由攻击者、控制台、攻击机(傀儡机)、受害者组成。一个攻击者可以控制多个控制台,一个控制台一般控制多个攻击机,为了攻击效果的缘故,受害者通常只有一个或有紧密联系的多个。

DoS是指这样一种攻击手段：攻击者在一定时间内发送大量的服务请求来“轰炸”目的主机或其他网络设备，使其不能提供正常的服务。这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进，从而导致公司通信瘫痪。

硬件DoS攻击的方式同那些普通的攻击方法差别不大。事实上，在很多情况下，同一个DoS攻击既能破坏软件又能破坏硬件。下面是一些例子：

（1）攻击者从假造的，并不存在的IP地址发出链接请求。因为接收方不能解析这些地址，任务将被挂起。（它使一个单个服务或端口或整个接收单元失效）

（2）攻击者占用了每个可用的任务（SESSIONS），以此阻止你到达远程的路由。如果你的服务器提供关键的服务，这将迫使你在工作的早上早起，驾车去办公室，并重新设置硬件。

（3）攻击者在例行注册时造成溢出，使得系统崩溃或重新启动。你可能又得被迫去重启你的硬件。

（4）攻击者给接收单元灌输大量的错误的或是特殊结构的数据包。由于接收单元不能正确处理这些包而锁定。

 一般而言，存在着三种形式的DoS

（1）针对于硬件（网络设备，路由器，交换机）的DoS。

（2）针对于网络层（IP协议）核心实现的DoS。

（3）针对于应用层（浏览器，Web服务器，Mail）的DoS。

最常见的是第二种。这种攻击方式多数是发送畸形的数据包，导致目的设备或主机无法处理而被挂起。程序代码并不长，也不复杂，但要求作者对于系统核心，对网络协议有深入的了解。第一个著名的DoS攻击是Morris病毒，此程序不断的自我繁殖，不断地消耗系统资源，直至系统崩溃。比较著名的DoS攻击手段还有很多，例如：

（1）teardrop.c，向目的主机改造过的数据包，IP报头中长度为负值。多数操作系统只检查数据包是否超过了最大长度，并不检查数据包是否太小。当数据包分组重组完毕，尤其数据包长度按无符号整数处理，系统将试图靠拷贝极长的数据包。此时系统可能会崩溃或重启。

（2）sesquipedalian.c，发送一系列IP分组，其第一个IP分组的长度为零。

（3）nestea.c，发送过大的IP分组。

（4）pingofdeath，发送过长的ICMP数据包。win95下ping-165510 yourtarget。

（5）smurf.c，它的原理是：发出伪装的ICMP数据包，目的地址设为某个网络的广播地址，源地址设为要攻击的目的主机。所有接收到此ICMP数据包的主机都将对向要攻击的目的主机发出

一个回应。这样被攻击主机将在某一段时间内收到成千上万的数据包。

在典型的Internet连接中，用户访问一个网站是，客户端会先向网站服务器发出一条信息要求建立连接，只有当服务器确认该请求合法，并将访问许可返回给用户时，用户才可对该服务器进行访问。DoS的攻击方法是，恶意用户会向服务器发送多个连接服务请求，它将无法找到这些使其呈满负载状态，并且将所有请求的返回地址进行伪造。这样，在用户服务器企图将认证机构返回给用户时，它将无法找到这些用户。此时，服务器只好等待，有时可能会等上1分钟才关闭此连接。可怕的是，在服务器关闭连接后，攻击者又会发出新的一批虚假请求，重复上一次过程，直到服务器因过载而拒绝提供服务。这些攻击事件并没有入侵网站，也没有篡改或是破坏资料，只是利用程序在瞬间产生大量的网络封包，让对方的网络及主机瘫痪，使正常使用者无法获得主机及时的服务。

DDoS把DoS又向前发展了一步，DDoS的行为更为自动化，它可以方便地协调从多台计算机上启动的进程，让一股DoS洪流冲击网络，并使网络因过载而崩溃。确切地讲，DDoS攻击是指在不同的高带宽主机上安装大量的DoS服务程序，它们等待来自中央客户端的命令，中央客户端随后通知全体受控服务程序，并批示它们对一个特定目标发送尽可能多的网络访问请求。作为攻击者，必须通过telnet连接到他想利用的每一台远程主机上，并以用户身份登录，然后手工输入命令，启动每一台主机向攻击目标发送海量信息流。

DDoS与DoS最大的区别是人多力量大。DoS是一台机器攻击目标，DDoS是很多台机器利用他们的高带宽攻击目标，更容易将目标网站攻掉。除此之外，DDoS攻击方式比较自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的攻击工具致使被攻击对象难以察觉，只要攻击者发下攻击命令，这些机器便发起进攻。

 （1）Trinoo：它是基于UDP flood的攻击软件，它向被攻击目标主机的随机端口发出全零的4字节UPD包，在处理这些超出其处理能力垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，此攻击方法用得不多。

（2）TFN：它是利用ICMP给代理服务器下命令，其来源可以作假。它可以发动SYN flood、UDP flood、ICMP flood及Smurf（利用多台服务器发出海量数据包，实施DoS攻击）等攻击。TFN的升级版TFN2k的特点是：对命令数据包加密、更难查询命令内容、命令来源可以作假、还有一个后门控制代理服务器。

（3）Stacheldraht：对命令来源作假，而且可以防范一些路由器用RFC2267过滤。若检查出有过滤现象，它将只作假IP地址最后8位，从而让用户无法了解到底是那几个网段的哪台机器被攻击。此外，它还具有自动更新功能，可随软件的更新而自动更新。

根据以下异常现象在网络入侵监测系统建立相应规则，能够较准确地监测出DoS/DDoS攻击。

异常现象0：虽然这不是真正的“DDoS”通讯，但却能用来确定DDoS攻击的来源。根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名.BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。

异常现象1：当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立访问控制规则以监测和过滤这些通讯。

异常现象2：特大型的ICMP和UDP数据包。正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些明显大得多的数据包很有可能就是传输DDoS控制信息的,主要含有加密后的目标地址和一些命令选项。一旦捕获到没有经过伪造的也没有加密的控制信息,DDoS网络也就无所遁形了。

异常现象3：不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。好的防火墙和合理配置路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。

异常现象4：数据段内容只包含字母和数字字符等(例如,没有空格、标点和控制字符)的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征.TFNZK发送的控制信息数据包就是这种类型的数据包。TFNZK(及其变种)的特征模式是在数据段中有一串A字符(AAA……),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码,对于使用了加密算法数据包,这个连续的字符就是“”。

异常现象5：数据段内容只包含二进制和高位bit为1的字符的数据包。虽然此时可能在传输二进制文件,但如果这些数据包不属于正常有效的通讯时,可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。(如果实施这种规则,必须将20、21、80等端口上的传输排除在外。)

以上特征都可加入到入侵检测系统中,由入侵检测系统来检测DDoS攻击。这些现象中有的也可以通过系统管理员敏锐的眼光发现。