拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn),，是黑客常用的攻擊手段之一。這些資源包括磁盤空間,、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬,，從而阻止正常用戶的訪問(wèn),。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩,，使某些服務(wù)被暫停甚至主機(jī)死機(jī),，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決,，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊,，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿,，不接收新的請(qǐng)求,；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位,，影響合法用戶的連接,。

拒絕服務(wù)攻擊的原理

1．SYN Foold

SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷,，發(fā)送大量偽造的TCP連接請(qǐng)求,，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。

SYN Flood攻擊的過(guò)程在TCP協(xié)議中被稱為三次握手(Three-way Handshake),，而SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的,。

(1) 攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN(Synchronize)即同步報(bào)文,。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào),。這時(shí)同被攻擊服務(wù)器建立了第一次握手。

(2) 受害服務(wù)器在收到攻擊者的SYN報(bào)文后,，將返回一個(gè)SYN+ACK的報(bào)文,，表示攻擊者的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一,，ACK(Acknowledgment)即確認(rèn),，這樣就同被攻擊服務(wù)器建立了第二次握手。

(3) 攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器,，同樣TCP序列號(hào)被加一,，到此一個(gè)TCP連接完成，三次握手完成,。

具體原理是：TCP連接的三次握手中,，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的(第三次握手無(wú)法完成),，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接,。這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為30秒~2分鐘),；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題,，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源,。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存,，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大,，最后的結(jié)果往往是堆棧溢出崩潰—— 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大,，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正?？蛻舻慕嵌瓤磥?lái),，服務(wù)器失去響應(yīng),，這種情況就稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。

2．IP欺騙DOS攻擊

這種攻擊利用RST位來(lái)實(shí)現(xiàn),。假設(shè)現(xiàn)在有一個(gè)合法用戶(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接,，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為61.61.61.61,，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段,。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從61.61.61.61發(fā)送的連接有錯(cuò)誤,，就會(huì)清空緩沖區(qū)中建立好的連接,。這時(shí)，如果合法用戶61.61.61.61再發(fā)送合法數(shù)據(jù),，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了,，該用戶就必須從新開始建立連接。攻擊時(shí),，攻擊者會(huì)偽造大量的IP地址,，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶服務(wù),，從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊,。