拒絕服務(wù)攻擊（英語：denial-of-service attack，簡稱DoS攻擊），是一種網(wǎng)絡(luò)攻擊手法，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無法訪問。

當(dāng)黑客使用網(wǎng)絡(luò)上兩個(gè)或以上被攻陷的電腦作為“僵尸”向特定的目標(biāo)發(fā)動(dòng)“拒絕服務(wù)”式攻擊時(shí)，稱為分布式拒絕服務(wù)攻擊（distributed denial-of-service attack，簡稱DDoS攻擊）亦稱洪水攻擊。據(jù)2014年統(tǒng)計(jì)，被確認(rèn)為大規(guī)模DDoS的攻擊已達(dá)平均每小時(shí)28次。DDoS發(fā)起者一般針對重要服務(wù)和知名網(wǎng)站進(jìn)行攻擊，如銀行、信用卡支付網(wǎng)關(guān)、甚至根域名服務(wù)器等。

DoS也常見于部分網(wǎng)絡(luò)游戲，被心懷不滿的玩家或是競爭對手廣泛使用。DoS也常被用于抗議，自由軟件基金會(huì)創(chuàng)辦人理查德·斯托曼曾表示，DoS是“網(wǎng)絡(luò)街頭抗議”的一種形式。

攻擊的癥狀

美國國土安全部旗下的美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（US-CERT）定義的拒絕服務(wù)攻擊癥狀包括：

1. 網(wǎng)絡(luò)異常緩慢（打開文件或訪問網(wǎng)站）
2. 特定網(wǎng)站無法訪問
3. 無法訪問任何網(wǎng)站
4. 垃圾郵件的數(shù)量急劇增加
5. 無線或有線網(wǎng)絡(luò)連接異常斷開
6. 長時(shí)間嘗試訪問網(wǎng)站或任何互聯(lián)網(wǎng)服務(wù)時(shí)被拒絕
7. 服務(wù)器容易斷線、卡頓、訪問延遲

拒絕服務(wù)的攻擊也可能會(huì)導(dǎo)致目標(biāo)計(jì)算機(jī)同一網(wǎng)絡(luò)中的其他計(jì)算機(jī)被攻擊，互聯(lián)網(wǎng)和局域網(wǎng)之間的帶寬會(huì)被攻擊導(dǎo)致大量消耗，不但影響目標(biāo)計(jì)算機(jī)，同時(shí)也影響局域網(wǎng)中的其他電腦。如果攻擊的規(guī)模較大，整個(gè)地區(qū)的網(wǎng)絡(luò)連接都可能會(huì)受到影響。

迄今最大規(guī)模的 DDoS 攻擊發(fā)生于 2017 年 9 月。該攻擊的目標(biāo)是 Google 服務(wù)，規(guī)模達(dá)到 2.54 Tbps。Google Cloud 于 2020 年 10 月披露了這次攻擊。

攻擊方式

DoS攻擊可以具體分成三種形式：帶寬消耗型、資源消耗型、漏洞觸發(fā)型。前兩者都是透過大量合法或偽造的請求占用大量網(wǎng)絡(luò)以及器材資源，以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的。而漏洞觸發(fā)型，則是觸發(fā)漏洞導(dǎo)致系統(tǒng)崩潰癱瘓服務(wù)。

帶寬消耗型攻擊

DDoS帶寬消耗攻擊可以分為兩個(gè)不同的層次；洪泛攻擊或放大攻擊。洪泛攻擊的特點(diǎn)是利用僵尸程序發(fā)送大量流量至受損的受害者系統(tǒng)，目的在于堵塞其寬帶。放大攻擊與其類似，是通過惡意放大流量限制受害者系統(tǒng)的寬帶；其特點(diǎn)是利用僵尸程序通過偽造的源IP（即攻擊目標(biāo)IP）向某些存在漏洞的服務(wù)器發(fā)送請求，服務(wù)器在處理請求后向偽造的源IP發(fā)送應(yīng)答，由于這些服務(wù)的特殊性導(dǎo)致應(yīng)答包比請求包更長，因此使用少量的寬帶就能使服務(wù)器發(fā)送大量的應(yīng)答到目標(biāo)主機(jī)上。 UDP洪水攻擊（User Datagram Protocol floods） UDP（用戶數(shù)據(jù)報(bào)協(xié)議）是一種無連接協(xié)議，當(dāng)數(shù)據(jù)包通過UDP發(fā)送時(shí)，所有的數(shù)據(jù)包在發(fā)送和接收時(shí)不需要進(jìn)行握手驗(yàn)證。當(dāng)大量UDP數(shù)據(jù)包發(fā)送給受害系統(tǒng)時(shí)，可能會(huì)導(dǎo)致帶寬飽和從而使得合法服務(wù)無法請求訪問受害系統(tǒng)。遭受DDoS UDP洪泛攻擊時(shí)，UDP數(shù)據(jù)包的目的端口可能是隨機(jī)或指定的端口，受害系統(tǒng)將嘗試處理接收到的數(shù)據(jù)包以確定本地運(yùn)行的服務(wù)。如果沒有應(yīng)用程序在目標(biāo)端口運(yùn)行，受害系統(tǒng)將對源IP發(fā)出ICMP數(shù)據(jù)包，表明“目標(biāo)端口不可達(dá)”。某些情況下，攻擊者會(huì)偽造源IP地址以隱藏自己，這樣從受害系統(tǒng)返回的數(shù)據(jù)包不會(huì)直接回到僵尸主機(jī)，而是被發(fā)送到被偽造地址的主機(jī)。有時(shí)UDP洪泛攻擊也可能影響受害系統(tǒng)周圍的網(wǎng)絡(luò)連接，這可能導(dǎo)致受害系統(tǒng)附近的正常系統(tǒng)遇到問題。然而，這取決于網(wǎng)絡(luò)體系結(jié)構(gòu)和線速。 ICMP洪水攻擊（ICMP floods） ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）洪水攻擊是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法。

資源消耗型攻擊

協(xié)議分析攻擊（SYN flood，SYN洪水） 傳送控制協(xié)議（TCP）同步（SYN）攻擊。TCP進(jìn)程通常包括發(fā)送者和接受者之間在數(shù)據(jù)包發(fā)送之前創(chuàng)建的完全信號交換。啟動(dòng)系統(tǒng)發(fā)送一個(gè)SYN請求，接收系統(tǒng)返回一個(gè)帶有自己SYN請求的ACK（確認(rèn)）作為交換。發(fā)送系統(tǒng)接著傳回自己的ACK來授權(quán)兩個(gè)系統(tǒng)間的通訊。若接收系統(tǒng)發(fā)送了SYN數(shù)據(jù)包，但沒接收到ACK，接受者經(jīng)過一段時(shí)間后會(huì)再次發(fā)送新的SYN數(shù)據(jù)包。接受系統(tǒng)中的處理器和內(nèi)存資源將存儲(chǔ)該TCP SYN的請求直至超時(shí)。DDoS TCP SYN攻擊也被稱為“資源耗盡攻擊”，它利用TCP功能將僵尸程序偽裝的TCP SYN請求發(fā)送給受害服務(wù)器，從而飽和服務(wù)處理器資源并阻止其有效地處理合法請求。它專門利用發(fā)送系統(tǒng)和接收系統(tǒng)間的三向信號交換來發(fā)送大量欺騙性的原IP地址TCP SYN數(shù)據(jù)包給受害系統(tǒng)。最終，大量TCP SYN攻擊請求反復(fù)發(fā)送，導(dǎo)致受害系統(tǒng)內(nèi)存和處理器資源耗盡，致使其無法處理任何合法用戶的請求。 LAND攻擊 這種攻擊方式與SYN floods類似，不過在LAND攻擊包中的原地址和目標(biāo)地址都是攻擊對象的IP。這種攻擊會(huì)導(dǎo)致被攻擊的機(jī)器死循環(huán)，最終耗盡資源而死機(jī)。 CC攻擊（Distributed HTTP flood，分布式HTTP洪水攻擊） CC攻擊使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請求（通常為HTTP GET)。攻擊者創(chuàng)造性地使用代理，利用廣泛可用的免費(fèi)代理服務(wù)器發(fā)動(dòng)DDoS攻擊。許多免費(fèi)代理服務(wù)器支持匿名，這使追蹤變得非常困難。 2004年，一位匿名為KiKi的中國黑客開發(fā)了一種用于發(fā)送HTTP請求的DDoS攻擊工具以攻擊名為“Collapsar”的NSFOCUS防火墻，因此該黑客工具被稱為“Challenge Collapsar”（挑戰(zhàn)黑洞，簡稱CC），這類攻擊被稱作“CC攻擊”。僵尸網(wǎng)絡(luò)攻擊 僵尸網(wǎng)絡(luò)是指大量被命令與控制（C&C）服務(wù)器所控制的互聯(lián)網(wǎng)主機(jī)群。攻擊者傳播惡意軟件并組成自己的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)難于檢測的原因是，僵尸主機(jī)只有在執(zhí)行特定指令時(shí)才會(huì)與服務(wù)器進(jìn)行通訊，使得它們隱蔽且不易察覺。僵尸網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)通訊協(xié)議的不同分為IRC、HTTP或P2P類等。 應(yīng)用程序級洪水攻擊（Application level floods） 與前面敘說的攻擊方式不同，應(yīng)用程序級洪水攻擊主要是針對應(yīng)用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統(tǒng)資源為目的，通過向IIS這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來破壞正常的網(wǎng)絡(luò)服務(wù)。

漏洞觸發(fā)型

這類攻擊手法，透過嘗試觸發(fā)緩存溢出等漏洞，使操作系統(tǒng)發(fā)生核心錯(cuò)誤或藍(lán)屏死機(jī)，達(dá)到拒絕服務(wù)攻擊。 死亡之Ping（ping of death） 死亡之Ping是產(chǎn)生超過IP協(xié)議能容忍的數(shù)據(jù)包數(shù)，若系統(tǒng)沒有檢查機(jī)制，就會(huì)宕機(jī)。 淚滴攻擊 每個(gè)資料要發(fā)送前，該數(shù)據(jù)包都會(huì)經(jīng)過切割，每個(gè)小切割都會(huì)記錄位移的信息，以便重組，但此攻擊模式就是捏造位移信息，造成重組時(shí)發(fā)生問題，造成錯(cuò)誤。

防御方式

拒絕服務(wù)攻擊的防御方式通常為入侵檢測，流量過濾和多重驗(yàn)證，旨在堵塞網(wǎng)絡(luò)帶寬的流量將被過濾，而正常的流量可正常通過。

防火墻

防火墻可以設(shè)置規(guī)則，例如允許或拒絕特定通訊協(xié)議，端口或IP地址。當(dāng)攻擊從少數(shù)不正常的IP地址發(fā)出時(shí)，可以簡單的使用拒絕規(guī)則阻止一切從攻擊源IP發(fā)出的通信。

復(fù)雜攻擊難以用簡單規(guī)則來阻止，例如80端口（網(wǎng)頁服務(wù)）遭受攻擊時(shí)不可能拒絕端口所有的通信，因?yàn)槠渫瑫r(shí)會(huì)阻止合法流量。此外，防火墻可能處于網(wǎng)絡(luò)架構(gòu)中過后的位置，路由器可能在惡意流量達(dá)到防火墻前即被攻擊影響。然而，防火墻能有效地防止用戶從啟動(dòng)防火墻后的計(jì)算機(jī)發(fā)起攻擊。

交換機(jī)

大多數(shù)交換機(jī)有一定的速度限制和訪問控制能力。有些交換機(jī)提供自動(dòng)速度限制、流量整形、后期連接、深度包檢測和假IP過濾功能，可以檢測并過濾拒絕服務(wù)攻擊。例如SYN洪水攻擊可以通過后期連接加以預(yù)防?；趦?nèi)容的攻擊可以利用深度包檢測阻止。

路由器

和交換機(jī)類似，路由器也有一定的速度限制和訪問控制能力，而大多數(shù)路由器很容易受到攻擊影響。

黑洞引導(dǎo)

黑洞引導(dǎo)指將所有受攻擊計(jì)算機(jī)的通信全部發(fā)送至一個(gè)“黑洞”（空接口或不存在的計(jì)算機(jī)地址）或者有足夠能力處理洪流的網(wǎng)絡(luò)設(shè)備商，以避免網(wǎng)絡(luò)受到較大影響。

流量清洗

當(dāng)獲取到流量時(shí)，通過DDoS防御軟件的處理，將正常流量和惡意流量區(qū)分開，正常的流量則回注回客戶網(wǎng)站，反之則屏蔽。這樣一來可站點(diǎn)能夠保持正常的運(yùn)作，僅僅處理真實(shí)用戶訪問網(wǎng)站帶來的合法流量。