作者簡(jiǎn)介：郝永清，谷安天下專職講師，CISSP、CISP、MCSE；主要從事信息安全相關(guān)工作，有近十年的授課經(jīng)驗(yàn)，全部涉及網(wǎng)絡(luò)安全相關(guān)的知識(shí)領(lǐng)域，2000年——2008年為300多家企業(yè)過千人的IT經(jīng)理及IT技術(shù)人員的安全相關(guān)培訓(xùn)。有豐富的項(xiàng)目經(jīng)驗(yàn)，曾經(jīng)主導(dǎo)國(guó)內(nèi)著名券商集中交易項(xiàng)目的規(guī)劃和建設(shè)以及構(gòu)建后續(xù)的管理體系。在攻防方面：跟蹤國(guó)內(nèi)外的安全動(dòng)態(tài)，對(duì)嚴(yán)重安全事件進(jìn)行快速響應(yīng)；對(duì)各種惡意軟件進(jìn)行分析，提供檢測(cè)和解決方案。完成產(chǎn)品的安全性評(píng)估（如防火墻、入侵檢測(cè)、漏洞掃描），參與過眾多公司網(wǎng)絡(luò)的滲透測(cè)試。對(duì)病毒和木馬有深入了解。

如果拋開善惡之分，單就純粹的技術(shù)而言，“攻擊”和“入侵”的含義是有很大區(qū)別的�，F(xiàn)在很多涉及到網(wǎng)絡(luò)安全技術(shù)的相關(guān)事物里面，都沒有將兩者嚴(yán)格劃分，基本都混為一談。
“入侵”是指在非授權(quán)的情況下，試圖存取信息、處理信息以使系統(tǒng)不可靠、不可用的故意行為。網(wǎng)絡(luò)上的入侵通常是利用目標(biāo)系統(tǒng)的漏洞、bug、缺陷而發(fā)起的一種行動(dòng)，它的目的是獲得、修改某些信息、資料或者數(shù)據(jù)。
“攻擊”在網(wǎng)絡(luò)安全技術(shù)中是指對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起的，以目標(biāo)被破壞、停止服務(wù)等為目的的行為。
具體來講，如果說腳本注入、緩沖區(qū)溢出等方法屬于技術(shù)性入侵的話， DoS的相關(guān)內(nèi)容將是屬于最特別也是危害最嚴(yán)重的惡意暴力性攻擊。
入侵是一個(gè)技術(shù)活，通過研究和模擬入侵技術(shù)，可以推導(dǎo)出相對(duì)應(yīng)的行之有效的防御技術(shù)，是對(duì)技術(shù)的整體提升很有幫助的一種研究方法。如果喜歡網(wǎng)絡(luò)安全技術(shù)的愛好者想要研究各種入侵技術(shù)，可以在本地構(gòu)建環(huán)境，然后進(jìn)行測(cè)試；而攻擊不同，攻擊基本是屬于一種暴力的、純惡意的破壞行為，是遭人唾棄并且嚴(yán)格禁止的——特別是DoS和DDoS攻擊！
就中國(guó)互聯(lián)網(wǎng)的發(fā)展情況看，DoS和DDoS是從02年開始瘋狂起來的，一直到今天熱度都未曾消退。利用這種攻擊方式敲詐、勒索的刑事案件層出不窮，各大新聞媒體都有很多報(bào)道，而發(fā)起這樣攻擊的人，現(xiàn)在也都獲得了應(yīng)有的法律懲罰。

1.1DoS與DDoS的基本概念
“DoS”是Denial of Service，拒絕服務(wù)的縮寫。所謂的拒絕服務(wù)是當(dāng)前網(wǎng)絡(luò)攻擊手段中最常見的一種。它故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過某種手段耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰，而最值得注意的是，攻擊者在此攻擊中并不入侵目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備，單純利用網(wǎng)絡(luò)缺陷或者暴力消耗即可達(dá)到目的。
從原理上來說，無論攻擊者的攻擊目標(biāo)（服務(wù)器、計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)）的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。任何資源都有一個(gè)極限，所以攻擊者總能找到一個(gè)方法使請(qǐng)求的值大于該極限值，導(dǎo)致所提供的服務(wù)資源耗盡。
從技術(shù)分類的角度上來說，最常見的DoS攻擊有對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法用戶的請(qǐng)求無法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊服務(wù)器或計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。
在網(wǎng)絡(luò)還不發(fā)達(dá)的時(shí)候，單一的DoS攻擊一般是采用一對(duì)一的方式，也就是攻擊者直接利用自己的計(jì)算機(jī)或者設(shè)備，對(duì)攻擊目標(biāo)發(fā)起DoS攻擊。當(dāng)攻擊目標(biāo)處在硬件性能低下、網(wǎng)絡(luò)連接情況不好等情況的時(shí)候，一對(duì)一的DoS攻擊效果是非常明顯的，很有可能直接一個(gè)攻擊者就搞定一個(gè)網(wǎng)站或者一個(gè)服務(wù)器，讓它拒絕服務(wù)。
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，硬件設(shè)備的處理性能加速度增長(zhǎng)，成本也變得非常低廉，網(wǎng)絡(luò)的快速發(fā)展更是讓帶寬、出入口節(jié)點(diǎn)寬度等大大的提升，這讓傳統(tǒng)的DoS攻擊很難湊效。
舉個(gè)不太確切的例子來說：假使20年以前，攻擊者利用自己的計(jì)算機(jī)對(duì)一個(gè)目標(biāo)服務(wù)器發(fā)起DoS攻擊，他通過編寫程序，實(shí)現(xiàn)多線程數(shù)據(jù)發(fā)送，每秒給服務(wù)器發(fā)送5000個(gè)數(shù)據(jù)包（示例數(shù)據(jù)，沒有實(shí)質(zhì)意義），服務(wù)器一會(huì)就無法正常訪問了；但是換到今天，就算攻擊者的計(jì)算機(jī)使用頂級(jí)的個(gè)人計(jì)算機(jī)硬件，用最好的配置發(fā)起DoS攻擊，如果采用傳統(tǒng)的攻擊方法的話，每秒給服務(wù)器發(fā)送20000個(gè)數(shù)據(jù)包（示例數(shù)據(jù)，沒有實(shí)質(zhì)意義），但是服務(wù)器每秒已經(jīng)可以輕松的處理20000000個(gè)數(shù)據(jù)包了，這樣的攻擊根本就達(dá)不到想要的拒絕服務(wù)效果。
隨著這樣情況的出現(xiàn)，攻擊者研究出了新的攻擊手段，也就是DDoS。
DDoS是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一種新的攻擊方式，即Distributed Denial Of Service，分布式拒絕服務(wù)攻擊。
如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力比以往加大了10倍的話（示例數(shù)據(jù)，沒有實(shí)質(zhì)意義），那攻擊者使用10臺(tái)計(jì)算機(jī)同時(shí)進(jìn)行攻擊呢？也就達(dá)到了可以讓目標(biāo)拒絕服務(wù)的目的。簡(jiǎn)單來說，DDoS就是利用更多的計(jì)算機(jī)來發(fā)起攻擊。
就技術(shù)實(shí)現(xiàn)方式來分析，分布式拒絕服務(wù)攻擊就是攻擊者利用入侵手段，控制幾百臺(tái)，或者成千上萬臺(tái)計(jì)算機(jī)（一般被控制的計(jì)算機(jī)叫做傀儡主機(jī)，或者口頭被網(wǎng)絡(luò)安全相關(guān)人員稱為“肉雞”），然后在這些計(jì)算機(jī)上安裝大量的DDoS程序。這些程序接受來自攻擊者的控制命令，攻擊者同時(shí)啟動(dòng)全部傀儡主機(jī)向目標(biāo)服務(wù)器發(fā)起拒絕服務(wù)攻擊，形成一個(gè)DoS攻擊群，猛烈的攻擊目標(biāo)，這樣能極為暴力的將原本處理能力很強(qiáng)的目標(biāo)服務(wù)器攻陷。
通過上面的分析，可以看出DDoS與DoS的最大區(qū)別是數(shù)量級(jí)的關(guān)系，DoS相對(duì)于DDoS來說就像是一個(gè)個(gè)體，而DDoS是無數(shù)DoS的集合。另一方面，DDoS攻擊方式較為自動(dòng)化，攻擊者可以把他的程序安裝到網(wǎng)絡(luò)中的多臺(tái)機(jī)器上，所采用的這種攻擊方式很難被攻擊對(duì)象察覺，直到攻擊者發(fā)下統(tǒng)一的攻擊命令，這些機(jī)器才同時(shí)發(fā)起進(jìn)攻。可以說DDoS攻擊是由黑客集中控制發(fā)動(dòng)的一組DoS攻擊的集合，現(xiàn)在這種方式被認(rèn)為是最有效的攻擊形式，并且非常難以抵擋。


1.2經(jīng)典DoS攻擊類型
DoS攻擊存在很多經(jīng)典的種類，從理清技術(shù)發(fā)展脈絡(luò)的角度，下面簡(jiǎn)單介紹了他們的名稱、原理和基本的攻擊方式。

1.2.1死亡之 ping
“ping of death”又稱“死亡之 ping”，之所以第一個(gè)首先列舉它，是因?yàn)楹芫靡郧�，被網(wǎng)絡(luò)媒體夸大的轟轟烈烈的“中美黑客大戰(zhàn)”上，主要的攻擊方式就是他。其實(shí)死亡之ping是利用的ICMP。現(xiàn)在微軟系列操作系統(tǒng)中的命令行中都有ping存在，ping程序?qū)嶋H就是使用的ICMP。本來在正常的情況下，TCP/IP的RFC文檔中對(duì)包的最大尺寸都有嚴(yán)格限制規(guī)定，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP 包大小為64KB，且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。但是“Ping of Death”故意產(chǎn)生畸形的測(cè)試Ping包，加載的尺寸超過64KB的上限，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終達(dá)到目標(biāo)拒絕服務(wù)的目的。

1.2.2淚滴
“teardrop”,又稱“淚滴”：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段（或者更多）數(shù)據(jù)包來實(shí)現(xiàn)TearDrop攻擊。第一個(gè)包的偏移量為0，長(zhǎng)度為N，第二個(gè)包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會(huì)分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動(dòng)，達(dá)到攻擊者需要的拒絕服務(wù)的目的。

1.2.3 UDP洪水
“UDP flood”又稱“UDP洪水”：UDP flood最開始一般應(yīng)用在針對(duì)UNIX類的服務(wù)器上，攻擊者通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的 UDP 連接，回復(fù)地址指向開著Echo 服務(wù)的一臺(tái)主機(jī)，通過將Chargen 和 Echo服務(wù)互指，來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù)，在兩臺(tái)主機(jī)之間生成足夠多的無用數(shù)據(jù)流，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。

1.2.4 SYN洪水
“SYN flood”又稱“SYN洪水”：當(dāng)用戶進(jìn)行一次標(biāo)準(zhǔn)的TCP（Transmission Control Protocol）連接時(shí)，會(huì)有一個(gè)三次握手的過程。首先請(qǐng)求服務(wù)方發(fā)送一個(gè)SYN消息，服務(wù)方收到SYN后，會(huì)向請(qǐng)求方回送一個(gè)SYN-ACK表示確認(rèn)，當(dāng)請(qǐng)求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個(gè)ACK消息，這樣下來一次TCP連接就建立成功了。
“SYN Flood”專門針對(duì)TCP協(xié)議棧在兩臺(tái)主機(jī)間初始化連接握手的過程進(jìn)行DoS攻擊，它在實(shí)現(xiàn)過程中只進(jìn)行前2個(gè)步驟：當(dāng)服務(wù)方收到請(qǐng)求方的SYN-ACK確認(rèn)消息后，請(qǐng)求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是服務(wù)方會(huì)在一定時(shí)間處于等待接收請(qǐng)求方ACK消息的狀態(tài)。而對(duì)于某臺(tái)服務(wù)器來說，可用的TCP連接是有限的，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直至緩沖區(qū)里的連接企圖超時(shí)。如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請(qǐng)求，該服務(wù)器可用的TCP連接隊(duì)列將很快被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長(zhǎng)此下去，除了少數(shù)幸運(yùn)用戶的請(qǐng)求可以插在大量虛假請(qǐng)求間得到應(yīng)答外，服務(wù)器將無法向用戶提供正常的合法服務(wù)。
這個(gè)攻擊方式到今天都有很多攻擊者使用，后續(xù)的章節(jié)中我們將對(duì)此攻擊方式進(jìn)行詳細(xì)分析。

1.2.5 IP欺騙攻擊
這種攻擊利用TCP協(xié)議棧的RST來實(shí)現(xiàn)，使用IP欺騙迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個(gè)合法用戶(123. 123. 123. 123)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為123. 123. 123. 123，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從123. 123. 123. 123發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中已建立好的連接。這時(shí)，合法用戶123. 123. 123. 123再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。


1.3新型DDoS攻擊分類
隨著技術(shù)的發(fā)展，很多新的防范技術(shù)和硬件層出不窮的推出，以往老舊的DoS攻擊方式已經(jīng)被淘汰了很多，極少數(shù)單一的DoS攻擊還頑強(qiáng)的存在著，但是DDoS攻擊開始取代DoS，更多新的DDoS攻擊方式出現(xiàn)了。
從技術(shù)類別上將，目前的網(wǎng)絡(luò)情況中，DoS和DDoS當(dāng)前主要有三種流行的概括性分類。

1.3.1經(jīng)過升級(jí)和變化的SYN/ACK Flood攻擊。
這種攻擊方法是經(jīng)典最有效的DoS方法，從原理上來說是可以通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，因?yàn)樗�的技術(shù)核心是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。
原本單一的DoS攻擊比較好防御，但是攻擊者將整個(gè)攻擊方式應(yīng)用到了DDoS中，利用龐大的僵尸網(wǎng)絡(luò)來發(fā)起這樣的攻擊，使整個(gè)攻擊方式的威力得打極大的提升，是今天依然很流行的一種DDoS攻擊方式。

1.3.2TCP全連接攻擊。
在很多防火墻產(chǎn)品開始為網(wǎng)絡(luò)提供保護(hù)以后，出現(xiàn)了這種新的DDoS攻擊方式，可以說它就是為了繞過或者突破常規(guī)防火墻阻擋而存在的。
一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等傳統(tǒng)DoS攻擊的技術(shù)能力，但是他們對(duì)用戶正常的TCP連接是允許通過的，也就是說對(duì)用戶的正常訪問不限制。但是很多網(wǎng)絡(luò)服務(wù)程序，比如IIS、Apache等Web服務(wù)器能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問非常緩慢甚至拒絕服務(wù)無法訪問。TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與被攻擊服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)。
這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。

1.3.3基于腳本的DDoS攻擊
基于腳本的DDoS攻擊是很新的一種攻擊技術(shù)，它主要針對(duì)的是ASP、JSP、PHP、CGI等腳本程序，利用腳本程序一般都需要調(diào)用Microsoft SQL Server、MySQL、Oracle等數(shù)據(jù)庫(kù)的情況，利用正常的腳本功能，和服務(wù)器建立絲毫沒有異常的TCP連接，不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的請(qǐng)求，以攻擊者極小的資源消耗，迫使服務(wù)器承受極大的運(yùn)行壓力，以達(dá)到拒絕服務(wù)的目的。
一般來說，用戶提交一個(gè)GET或POST請(qǐng)求，對(duì)用戶自己來說，耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請(qǐng)求卻可能要從數(shù)據(jù)庫(kù)的上萬條記錄中去查出這個(gè)記錄，這種處理過程對(duì)資源的耗費(fèi)相對(duì)于用戶來說是比較大的,而對(duì)于用戶來說消耗卻是很小的。因此攻擊者只需通過代理向主機(jī)服務(wù)器大量遞交查詢或者消耗資源比較大的請(qǐng)求，只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)。
這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些代理或者代理服務(wù)器就可實(shí)施攻擊。、
1.3.4穿專業(yè)的抗DDoS防火墻
這種攻擊手法是將來流行的攻擊方法，利用抗DDoS防火墻本身弱點(diǎn)發(fā)起的新型攻擊手段，都在試圖穿過抗DDoS防火墻。但現(xiàn)在這種技術(shù)都在圈內(nèi)，不對(duì)外公布，所以知道的人了了無幾，如果這種方法及工具流出的話，將會(huì)引起一場(chǎng)安全界內(nèi)的動(dòng)蕩。
這就是常見的DoS/DDoS攻擊手段，有不對(duì)不處望朋友指正。