dos攻击实例_简单的DOS攻击服务器

DDoS攻击

• 分布式拒绝服务（DDoS：Distributed Denial of Service Attack）攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为

• DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机，也可以包括其他联网资源（如 IoT 设备）

• 攻击者利用受控主机发送大量的网络数据包，占满攻击目标的带宽，使得正常请求无法达到及时有效的响应

• DNS 响应的数据包比查询的数据包大，攻击者发送的DNS查询数据包大小一般为 60 字节左右，而查询返回的数据包的大小通常在3000字节以上，因此放大倍数能达到50倍以上，放大效果惊人

• 主要通过对系统维护的连接资源进行消耗，使其无法正常连接，以达到拒绝服务的目的，此类攻击主要是因为TCP 安全性设计缺陷引起的

• 目标计算机响应每个连接请求，然后等待握手中的最后一步，但这一步确永远不会发生，因此在此过程中耗尽目标的资源

• 消耗应用资源攻击通过向应用提交大量消耗资源的请求，以达到拒绝服务的目的

• 这种类型的攻击较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL；复杂版本可能使用大量攻击性 IP 地址，并使用随机 referrer 和用户代理来针对随机网址

• LOTC是一个最受欢迎的DOS攻击工具。 这个工具曾经被流行的黑客集团匿名者用于对许多大公司的网络攻击

• 它可以通过使用单个用户执行 DOS 攻击小型服务器，工具非常易于使用，即便你是一个初学者。 这个工具执行DOS攻击通过发送UDP，TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL，其他的就交给这个工具吧

• XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议执行DOS攻击任何服务器。XOIC开发者还声称XOIC比LOIC在很多方面更强大

• 一般来说,该工具有三种攻击模式,第一个被称为测试模式，是非常基本的； 第二个是正常的DOS攻击模式； 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式

• 对付小型网站来说，这是一个很有效的DDOS工具, 但是从来没有尝试的要小心点，你可能最终会撞自己的网站的服务器

• HULK是另一个不错的DOS攻击工具，这个工具使用某些其他技术来避免通过攻击来检测,它有一个已知的用户代理列表，且使用的是随机请求

• 输入 URL ，点击 Lock on，设置 Method 模式（比如 HTTP)，设置速度等其他参数

• 点击 IMMA CHARING MAH LAZER ,开始攻击

• 打开被攻击的站点，发现此时已经打不开

1、查看流量设备，发现攻击者使用僵尸网络在某时间段内发起了DDoS攻击

2、进一步对网络数据包进行抓包分析，发现攻击者使用 HTTP 请求功能向服务器发起多次请求，服务器返回多个响应文件，造成网络负载过高

3、对服务器访问日志进行排查

1、配置防火墙策略，屏蔽异常访问的IP地址

2、调整防护设备策略，在不影响业务的情况下限制 HTTP Range 形式访问

3、如果流量远远超出出口带宽，建议联系运营商进行流量清洗

1、攻击前的防御阶段

2、攻击时的缓解阶段

3、攻击后的追溯总结阶段

• 尽量避免将非业务必需的端口暴露在公网上，避免与业务无关的请求和访问

• 对服务器进行安全加固，包括操作系统即服务软件，减少可能被攻击的点

• 优化网络架构，保证系统的弹性和冗余，防止单点故障发生

• 对服务器性能进行测试，评估正常业务下能承受的带宽，保证带宽有余量

• 对现有架构进行压力测试，评估当前业务吞吐处理能力

• 使用全流量监控设备（如天眼）对全网中存在的威胁进行监控分析，实时关注告警

• 根据当前技术架构、人员、历史攻击情况等，完善应急响应技术预案

常见的DOS攻击手段有哪些

DoS是Denial of

Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。

DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

常见类型如下：

第一种：SYN flood(SYN泛洪)

SYN泛洪是一种DOS攻击，攻击者向目标系统发送一系列SYN请求，企图使用大量服务器资源使系统对合法流量无响应。

第二种：Teardrop Attacks(泪滴攻击)

泪滴攻击涉及黑客向受害者的机器发送重叠的，超大的有效载荷的破碎和混乱的IP片段。由于TCP/IP碎片重新组装的方式存在错误，因此显然会导致操作系统和服务器崩溃。所有操作系统的许多类型的服务器都容易受到这种类型的DOS攻击，包括Linux。

第三种：Low-rate Denial-of-Service attacks(低速拒绝服务攻击)

这是非常致命的DoS攻击!低速率DoS攻击旨在利用TCP的慢速时间动态，能够执行重传超时机制以降低TCP吞吐量。简而言之，黑客可以通过发送高速率和密集突发来反复进入RTO状态来创建TCP溢出-同时在慢速RTO时间尺度上。受害节点处的TCP吞吐量将大幅降低，而黑客的平均速率较低，因此难以被检测到。

第四种：Internet Control Message Protocol flood(Internet控制消息协议(ICMP)泛洪)

Internet控制消息协议是一种用于IP操作，诊断和错误的无连接协议。ICMP

Flood-发送异常大量的任何类型的ICMP数据包，可能会淹没尝试处理每个传入ICMP请求的目标服务器，这可能导致拒绝-目标服务器的服务条件。

第五种：Peer-to-peer attacks(点对点攻击)

点对点网络是一种分布式网络，其中网络中的各个节点充当资源的供应者和消费者，与集中式客户端-服务器模型相反，客户端-服务器或操作系统节点请求访问中央服务器提供的资源。

什么是DOS攻击，DOS攻击的命令有哪些，攻击的方式有哪些？

DOS，是Denial of Service的简称，即拒绝服务，不是DOS操作系统，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击。

DOS攻击类型有哪些?常见方式如下：

SYN FLOOD

利用服务器的连接缓冲区，利用特殊的程序，设置TCP的header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。

如果SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求;其他合法用户的连接都被拒绝，可以持续SYN请求发送，直到缓冲区中都是自己的只有SYN标志的请求。

IP欺骗

DOS攻击这种攻击利用RST位来实现的，比如现在有一个合法用户已经同服务器建立正常连接，攻击者构造攻击的TCP数据，伪装自己的IP为正常ip，向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从合法用户发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户再发送合法数据，服务器就已经没有这样的连接了，该用户必须重新开始建立连接。

带宽DOS攻击

如果连接带宽足够大而服务器又不是很大，可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大，配合上SYN一起实施DOS，威力巨大。

自身消耗的DOS攻击

这种是老式的攻击手法。说老式，是因为老式的系统有这样的自身BUG，比如win 95这样的系统。这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快地把资源消耗光，直接导致宕机。这种伪装对一些身份认证系统威胁还是很大的。

塞满服务器的硬盘

如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径：

1、发送垃圾邮件：一般公司的服务器可能把邮件服务器和Web服务器都放在一起，破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。

2、让日志记录满：入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。

3、向匿名FTP塞垃圾文件，这样也会塞满硬盘空间。

简单的DOS攻击

DoS（Denial of Service）拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水，或者网线被拔下，或者网络的交通堵塞等等，最终的结果是正常用户不能使用他所需要的服务了，不论本地或者是远程。我们这里比较关心远程的，通过网络进行的DoS攻击。

网络应用的普及使我们的工作生活越来越离不开网络。CRM、ERP、办公自动化软件极大的提高了我们工作的效率；通过网络可以找到各种工作、学习资料；我们上网交电话费，查看银行帐户；我们上网交友娱乐。DoS攻击直接的后果可能就是你不能访问这些服务了，对某个DNS服务器或者路由器、防火墙的攻击甚至导致对整个网络的拒绝服务。下面，就来看看这种攻击方式如何远程达到DoS的目的。

具体DoS攻击方法很多，但大多都可以分为以下几类：

利用软件实现的缺陷

OOB攻击（常用工具winnuke），teardrop攻击（常用工具teardrop.c boink.c bonk.c），land攻击，IGMP碎片包攻击，jolt攻击，Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。

那么如何造成这些攻击的？通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。

1997年5月7号有人发布了一个winnuke.c。首先建立一条到Win95/NT主机的TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是Win95/NT系统最常见的侦听端口，所以winnuke.c使用了该端口。之所以称呼这种攻击为OOB攻击，因为MSG_OOB标志，实际应该是TCP紧急数据攻击。

原始teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip并跨越路由器进行远程攻击，影响的系统包括Linux/WinNT/Win95。使用的方法是：

teardrop 源ip 目的ip [-s 源端口] [-d 目的端口] [-n 次数]

比较新的一个DoS攻击是Windows的SMB实现中的DoS攻击，2002年8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具SMBdie.exe是图形界面工具，输入目标地址NETBIOS名称即可。

从上面的讨论可以看出，这种攻击行为威力很大，而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中，通常是无效的。不过最新的攻击方法还是让我们不寒而栗，我们可以做的就是关注安全漏洞的发布，及时打上新的补丁。如果你想偷懒的话，购买专业安全服务公司的相关服务应该是个更好的选择。

利用协议的漏洞

如果说上面那种漏洞危害的时间不是很长，那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。

最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到30－40M的64字节的synflood报文，而一台普通的服务器20M的流量就基本没有任何响应了（包括鼠标、键盘）。而且synflood不仅可以远程进行，而且可以伪造源IP地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。

对于伪造源IP的synflood攻击，除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找，否则很难追查。当前一些防火墙产品声称有抗DoS的能力，但通常他们能力有限，包括国外的硬件防火墙大多100M防火墙的抗synflood的能力只有20－30Mbps(64字节syn包)，这里涉及到它们对小报文的转发能力，再大的流量甚至能把防火墙打死机。现在有些安全厂商认识到DoS攻击的危害，开始研发专用的抗拒绝服务产品，让我们拭目以待吧！

由于TCP/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。

另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如HTTP协议是无状态协议，攻击者构造大量搜索请求，这些请求耗费大量服务器资源，导致DoS。这种方式攻击比较好处理，由于是正常请求，暴露了正常的源IP地址，禁止这些IP就可以了。

进行资源比拼

这种攻击方式属于无赖打法，我凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致DoS。比如，ICMP flood，mstream flood，Connection flood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（Distributed Dos 分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻击是可以伪造IP地址的，追查也是非常困难，第3种攻击由于需要建立连接，可能会暴露攻击傀儡的IP地址，通过防火墙禁止这些IP就可以了。对于难于追查，禁止的攻击行为，我们只能期望专用的抗拒绝服务产品了。