拒绝服务原理

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成了攻击者的终极手法。

攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

（1） 制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常与外界通信。

（2） 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频地发出攻击性的重复服务请求，使被攻击主机无法及时处理其他正常的请求。

（3） 利用被攻击主机所提供服务程序或传输协议的本身缺陷，反复发送畸形攻击数据引发系统错误的分配大量系统资源，是主机处于挂起状态甚至死机。

常见的几种拒绝服务方法：

1. SYN Food

SYN Food攻击是利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。此时，服务器已经无法再提供正常的服务了，所以SYN Food攻击是拒绝服务攻击。

2. IP欺骗DOS攻击

这种攻击利用RST位来实现。假设现在有一个合法用户（1.1.1.1）已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须重新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。

3. UDP洪水攻击

UDP Flood是当前最流行的Do S（拒绝服务攻击）与DDo S（分布式拒绝服务攻击）的方式之一，这种攻击是抓住了 UDP 协议是一个面向无连接的传输层协议，以至于在数据传送过程中，不需要建立连接和进行认证这一特点，进行攻击时攻击方就可以向被攻击方发送大量的异常高流量的完整 UDP 数据包，这样一方面会使被攻击主机所在的网络资源被耗尽（CPU满负荷或内存不足），还会使被攻击主机忙于处理UDP数据包，而使系统崩溃。

4. Smurf攻击

Smurf攻击就是利用发送ICMP应答包来导致目标主机的服务拒绝攻击。在Smurf攻击中，ICMP应答请求数据包中的目标IP是一个网络的广播IP地址，源IP地址是其要攻击主机的IP地址。这种攻击方式主要由3部分组成：攻击者、中间媒介（主机、路由器和其他网络设备）和被攻击者。当攻击者发送一个ICMP请求应答包时，他并不将自己机器的IP作为源IP。相反，攻击者将被攻击对象的IP作为包的源IP。当中间媒介收到一个指向其所在网络的广播地址后，中间媒介将向源IP（被攻击者的IP）发送一个ICMP应答包。