拒绝服务攻击与防御技术

简述典型拒绝服务攻击技术的基本原理。（至少介绍8种） 1.Ping Of Death

基本原理：由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

2.泪滴（Teardrop）

基本原理：向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

3.IP欺骗DoS攻击

基本原理：攻击时，攻击者会伪造大量源IP地址为其他用户IP地址、RST位置1的数据包，发送给目标服务器，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。

4.Land攻击

基本原理：向目标主机发送一个特殊的SYN包，包中的源地址和目标地址都是目标主机的地址。目标主机收到这样的连接请求时会向自己发送SYN/ACK数据包，结果导致目标主机向自己发回ACK数据包并创建一个连接。大量的这样的数据包将使目标主机建立很多无效的连接，系统资源被大量的占用，从而使网络功能完全瘫痪。

5.Smurf攻击

基本原理：在构造数据包时将源地址设置为被攻击主机的地址，而将目的地址设置为广播地址，于是，大量的ICMP echo回应包被发送给被攻击主机，使其因网络阻塞而无法提供服务。

6.Fraggle攻击

基本原理：采用向广播地址发送数据包，利用广播地址的特性将攻击放大以使目标主机拒绝服务。

7.WinNuke攻击

基本原理：被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。通过制造特殊的这种16位URG指针报文，但这些攻击报文与正常携带OOB数据报文不同的是：其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

8.畸形消息攻击

基本原理：利用目标主机或者特定服务在处理接收到的信息之前没有进行适当的信息错误检测，故意发送一些畸形的信息，使目标主机出现处理异常或崩溃。

9.电子邮件

基本原理：攻击者不停地向用户的邮件发送大量的邮件，目的是要用垃圾邮件填满用户的邮箱，使正常的邮件因邮箱空间不足而被拒收，这也将不断吞噬邮件服务器上的硬盘空间，使其最后耗尽，无法再对外服务。

10.Slashdot effect

基本原理：由于Slashdot.org的知名度和浏览人数的影响，在Slashdot.org上的文章中放入的网站链接，有可能一瞬间被点入上千次，甚至上万次，造成这个被链接的网站承受不住突然增加的连接请求，出现响应变慢、崩溃、拒绝服务。

11.UDP洪水

基本原理：当两个或两个以上系统存在这样的服务时，攻击者利用其中一台主机向另一台主机的echo或者chargen服务端口发送数据，echo和chargen服务会自动进行回复，这样开启echo和chargen服务的主机就会相互回复数据，一方的输出成为另一方的输入，两台主机间会形成大量的UDP数据包。当多个系统之间

互相产生UDP数据包时，最终将导致整个网络瘫痪。

12.SYN洪水

基本原理：进行攻击的主机发送伪造的带有虚假源地址的SYN数据包给目标主机，一般情况下，伪造的源地址都是互联网上没有使用的地址。目标主机在收到SYN连接请求时，会按照请求的SYN数据包中的源地址回复一个SYN/ACK数据包。由于源地址是一个虚假的地址，目标主机发送的SYN/ACK包不会得到确认。服务器会保持这个连接知道超时。当大量的如同洪水一般的虚假SYN请求包同时发送到目标主机时，目标主机上就会有大量的连续请求等待确认。每一台主机都有一个允许的最大连接数目，当这些未释放的连接请求数量超过目标主机的时，主机就无法对新的连接请求进行响应了，正常的连接请求也不会被 目标主机接受。虽然所有的操作系统对每个连接都设置了一个计时器，如果计时器超时就释放资源，但是攻击者可以持续建立大量新的SYN连接来消耗系统资源，正常的连接请求很容易被淹没在大量的SYN数据包中。