拒绝服务（DoS）攻击

布满荆棘的人生 2022-08-21 10:43 11阅读 0赞

**拒绝服务（denial of service, 简称DoS）型攻击。**  
**四种常见DoS攻击类型:**  
1.带宽耗用  
最阴险的DoS攻击形式是 带宽耗用（bandwidth-consumption）攻击。其本质是攻击者消耗掉某个网络的所有可用带宽。这可以发生在局域网上，不过更常见的是攻击者远程消耗资源。这种攻击有两种基本情形。  
情形1: 攻击者因为有更多的可用带宽而能够造成受害者网络的拥塞。  
情形2: 攻击者通过征用多个站点集中拥塞受害者的网络连接来放大他们的DoS攻击效果。  
我们继续强调ICMP分组流动的危险性。ICMP尽管满足有价值的诊断目的之需，却易被滥用，从而往往成了带宽耗用攻击的“子弹”。另外，带宽耗用攻击会因为大多数攻击者欺诈所用的源地址而变糟糕，使得极难标识真正的作恶者。

2.资源衰竭  
资源衰竭（resource-starvation）攻击与带宽耗用攻击的差异在于前者集中于系统资源而不是网络资源的消耗。一般地说， 它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。攻击者往往拥有一定数量系统资源的合法访问权。然而他们会滥用这种访问权消耗额外的资源。这么一来，系统或合法用户被剥夺了原来享有的资源份额。资源衰竭DoS攻击通常会因为系统崩溃、文件系统变满或进程被挂起等原因而导致不可用的资源。

3.编程缺陷

编程缺陷（programming flaw）是应用程序、操作系统或嵌埋式逻辑芯片在处理异常条件上的失败。这些异常条件通常在用户向脆弱的元素发送非期望的数据时发生。攻击者经常向目标系统发送离奇的，非RFC相容的分组来确定其网络协议栈是否会处理这种异常，或者是否会导致内核惊慌和彻底的系统崩溃。对于依赖用户输入的特定应用程序来说，攻击者可能发送数千行长度的大数据串。如果该程序使用了固定长度的缓冲区（譬如说128字节），攻击者就有可能创建一个缓冲区溢出条件而导致其崩溃。更糟糕的是，攻击者可能像第5章和第7章中讨论过的那样执行特权命令。嵌埋式逻辑芯片中的编程缺陷实例也比较常见。恶名远扬的 Pentium f00f DoS 攻击允许用户模式的进程通过执行无效指令 0xf00fc7c8 导致任何操作系统的崩溃。

我们都清楚没有缺陷的程序、操作系统或者CPU都不可能有。攻击者也知道这个规律，从而不遗余力地发掘他们以导致关键应用程序和敏感系统的崩溃。不幸的是，这些攻击通常在最不合时宜的时候发生。

4.路由和DNS攻击

基于路由的DoS攻击涉及攻击者 操纵路由表项以拒绝对合法系统或网络提供服务。诸如路由信息协议（Routing Information Protocol，简称RIP）v1 和边界网关协议（Border Gateway Protocol，简称BGP）v4 之类较早版本的路由协议 没有或只有很弱的认证机制。而且它们确实提供的那么一点认证机制在实现时也很少用上。这给攻击者变换合法路径提供了良好的前提， 往往通过假冒源IP地址就能创建DoS条件。这种攻击的后果是去往受害者网络的分组或者经由攻击者的网络路由，或者路由到不存在的黑洞网络上。

基于域名系统（DNS）的攻击跟基于路由的攻击一样烦人。大多数DNS攻击 涉及劝服受害者域名服务器高速缓存虚假的地址信息。 这样当合法用户请求某台DNS服务器执行查找请求时，攻击者就达到了把它们重定向到自己喜欢的站点上的效果，某些情况下还被重定向到黑洞网络中。曾经有过几例造成大型站点在长时间内无法访问的DNS相关的DoS攻击。

![SouthEast][]

![Image 1][]

[SouthEast]: /images/20220724/110ce9ed151a4e5fa2f5a37e0429b97f.png
[Image 1]: