什么是拒绝服务攻击（拒绝服务攻击） ，以及如何保护他们

Share

|

黑客可以肆虐，却从来不透你的系统。 例如，黑客可以有效地关闭你的计算机不受水患你厌恶的信号或恶意代码。 这一技术被称为-即拒绝服务攻击。

黑客执行拒绝服务攻击，利用其中两种可能的方法。 第一种方法是将防洪目标计算机或硬件设备与资料，以便使它变得不堪重负。 替代方法是派遣一个良好的精心指挥或一块错误的数据说，坠毁的目标计算机装置。

的syn flooding

这第一类型的拒绝服务攻击，我们将讨论的是俗称的syn flooding 。 一的syn攻击将配合了目标计算机的资源，使政策回应洪水的指挥。 要理解这点，想象你是一个秘书，其工作，是要回答和重定向打电话。 如果有200人要求你在同一时间，然后挂断了，当你回答你的问题？ 你会这么忙回升死线，你将永远不会得到任何工作。 最终，你会很痛苦的精神崩溃，放弃这份工作。 这是同样的技术，黑客使用时，他们聘请dos攻击。

执行dos攻击，黑客必须首先确定ip地址的目标。 利用这个ip地址，黑客必须连接到使用它的用户端电脑。 扩增武力的攻击，黑客往往会建立了几个客户端计算机编程来攻击目标在同一时间举行。 这通常是通过做一些初步的黑客取得所有权的几台电脑与高带宽连接。 最受欢迎的来源，这些奴隶电脑是大学系统或宽频客户。 一旦黑客有他的奴隶电脑成立后，他展开攻击，从一个中心点，被称为大师。

一的syn dos攻击，利用所需的tcp / ip握手，是发生时，两台计算机建立一个沟通的会议。 在用户端电脑先发送一个同步分组，以在服务器计算机上，开始了沟通。 当服务器收到这个数据，它处理了回邮地址并移送回的syn ack包。 服务器，然后等待客户端的反应与最后ack包，其中完成了连接起爆。

一台服务器有一个数量有限的资源，为指定客户端连接。 当一台服务器收到初步的syn数据包从一个用户端，服务器分配一些这些资源。 这一限制是为了上限多少用户同时连接。 如果有太多的客户连接，一时间，服务器将成为超载和会崩溃下，过剩的加工负荷。

弱点在这个系统中发生时，黑客插入假回邮地址在最初的syn包。 因此，当服务器发送回来的syn ack以假客户端，它从未得到最后ack 。 这也就是说，每个假的syn包，进一步资源的束缚，直至服务器拒绝任何更多的连接。 一个成功的攻击需要大量的假包，但如果黑客有几个奴隶电脑发送数据包，他可以超载一台服务器迅速。

一个众所周知的例子，这种类型的攻击发生在1999年末。 几位高知名度的网站被带至他们的膝盖受洪水的信号来自数百个不同的电脑同步。 该网站不会有任何问题的处理是一个攻击的来源之一;然而，通过使用远程控制程序中，一个或更多的黑客发动协调一致的攻击使用了数百台电脑，因此很快超载，他们的目标。

蓝袭击

一种变异的洪水拒绝服务攻击的是被称为精灵的攻击。 想象一个公司， 50名员工获得回应顾客的问题，通过电子邮件。 每个雇员都有一个自动应答，自动发送一个礼貌答复质询时，得到的。 会发生什么事，如果是一个愤怒的顾客寄出100电子邮件复制到每50个员工使用假返回电子邮件地址？ 100来袭电子邮件，会突然变成5000即将离任的电子邮件-所有前往一个信箱。 谁拥有了假回邮地址，将压倒一切的电子邮件！ 她将不得不通过搜索所有的，它作出肯定她没有错过任何一个重要的邮件，由她的上司或朋友。 这是类似的，如何精灵攻击工程。 攻击者发送一个请求信号到一个网络的计算机，其中每回答一项伪造回邮地址。 在专题节目和其它技术，可以补充，直到洪水信息，是走向一个不幸的计算机。

由于规则的tcp / ip ，电脑漠视包内并未明文规定给它。 其中一个例外是如果一个计算机都有一个网路卡运行在混杂模式，其表现是由嗅探器的例子。 另一个例外的情况是广播包。

请问贵公司做的时候，它需要获得一个重要的讯息，大家都在组织？ 如果邮件是一项选择，它发出了一个内部的"垃圾邮件"的讯息，每个人有一个电子邮件地址。 否则，可能会发挥宣布超过喇叭，或邮寄一份公报附近的咖啡壶。 这些技巧确保大部分雇员将接收到的信息。 同样，在计算机网络，有些时候，一台服务器需要寄发信息到每一个连接的计算机上的网络。 做到这一点，是用广播地址。

由于道路ip地址是成立了一个网络，始终有一个地址，每个电脑将答案。 这个地址称为广播地址，并用来更新名单和其它必要的物品电脑需要保持网络的建立和运转。 虽然广播地址是要在某些情况下，它能够导致什么是众所周知的，作为广播风暴。

一个广播风暴是像回声从来也没有死。 更具体地说，它就像回声即涨，直到你不能听到任何东西的纯噪音。 如果一个计算机发送一个请求到网络使用广播地址与回邮地址的广播地址，每台计算机将回应每一个其他计算机的回应;这种情况持续下去，在滚雪球效应，直到网络是如此充满回声什么否则，可以得到通过。

现在您清楚地了解如何在广播作品的，可以想象会发生什么事，如果一个黑客派出一千广播包成一个网络，以欺骗方式回报ip地址。 该网络将放大原有的邮包到几万或几十万的数据包，全部是针对一台电脑。

在这种情况下，不同的syn攻击，目标计算机将能够成立一个通讯会话与请求的计算机。 然而，超负荷的会议上要求，将淹没服务器，从而使服务器没用。

这些类型的攻击，不仅迅速而有效地关闭一台服务器，但它们也随时向黑客无形。 由于对大自然的袭击，原包派出的黑客是难以追查。 在属的syn攻击，地址是欺骗性的。 因此，原产地的邮包仍是未知之数。 在一个十字架攻击，黑客不直接攻击目标，而是利用其副作用派遣广播信号成一个网络，做好就业间接的影响。 因此，这次袭击似乎是来自另一台计算机或网络。

系统超重

另一种类型的拒绝服务攻击是针对该软件运行于目标计算机。 计算机软件，而平均来说，每毛刺每一千行代码。 由于软体程式可以以百万计的线长，有多少个安全漏洞能够运行到几十万。 如果一个攻击者知道如何开发一个具体的缺陷，她可以关闭目标电脑。 例如，有一个著名的购物车中的软件程序被发现有一个弱点，在其节目内容，这使得处理器的负载对计算机穗至100 ％ ，从而防止任何其他节目，从运行。 派遣一个简单http://要求在正确的格式，可以融化目标服务器。

这种类型的攻击是类似于海关上限盐振动筛。 正常使用，盐摇床工程罚款，并永远不会给你一堆盐为你的努力。 但是，如果有人了解内部资料一摇床被秘密拧帽，振动筛，将防洪与你苦咸水。

这种类型的拒绝服务攻击通常是利用通过一个缓冲区溢出。 在通常情况下，缓冲区溢出会崩溃一部电脑。 正如以前讨论过，溢流将填补预定一大块内存，并溢流到内存以上，因此不会覆盖的另一个变量的数据。 当节目中使用了被覆盖可变试图取出数据，程序会崩溃，常常是全国一盘棋的电脑与资讯科技。

拒绝服务攻击是一种常见的威胁，不仅为大企业，而且还为小型企业和家庭用户。 有无数预先作出规划，可以让任何人有权防洪目标。 一个简单的单击鼠标可以传送数百名的syn数据包的路障直接受害者。 如果你怀疑dos攻击，你可以使用netstat工具，以决定是否攻击是发生;通过使用这一工具，攻击，是很容易不明显下表显示netstat结果一的syn攻击。 国务院连续清楚地说明一个的syn攻击，目前正在进行当中。

该netstat结果一的syn攻击

活跃的互联网接入服务（包括服务器）
原型	本地地址	国外地址	国家
中tcp	10.0.0.1:22	10.0.0.2:3342	syn_recv
中tcp	10.0.0.1:22	10.0.0.2:4323	syn_recv
中tcp	10.0.0.1:22	10.0.0.2:4356	syn_recv
中tcp	10.0.0.1:22	10.0.0.2:4367	syn_recv
中tcp	10.0.0.1:22	10.0.0.2:4389	syn_recv

大家可以看到，拒绝服务攻击并不复杂。 由于很容易一名黑客可以找到预先作出攻击程式，这些攻击也很普遍。 在这一点上，你可能会问： "我怎样才能可以防止拒绝服务攻击" ？ 不幸的是，它们可以缓解，但尚未完全可以避免的。

因为这些攻击的基础上，根本的出路电脑成立沟通，互相借鉴，只有这样，才能制止这种滥用将重新发明了互联网。 目前，唯一现实的途径，以减轻这种攻击是为了阻止一切车辆来自特定零件的互联网。 然而，正如我们讨论过，电脑黑客经常使用许多奴隶电脑从不同地点。 因此，一个网站，将不得不停用获得整个社区用户成功地阻止任何攻击。

dns的欺骗

其他类型的拒绝服务攻击的工作，间接的影响。 这些类型的攻击，通常不涉及服务器;相反，他们的目标客户。 在这种情况下，用户端电脑只是愚弄在那里这是不言而喻的，当下令提取信息。 举例来说，如果你认为你的电脑是去http://www.yahoo.com ，但它反而去一个黑客网站取得了看起来像雅虎！ ，你可能会在不经意供应黑客与密码和其他个人信息。

正常的情况下，用户端电脑来查询dns服务器当一个域名或网址需要转换成一个ip地址。 这是因为，在用户端电脑需要ip地址来寻找网页服务器或电子邮件服务器，使用域名。 这是做了三个步骤。

1. 客户要求dns服务器，为域名的ip地址。

2. dns服务器疑问，它的数据库和答复同一个ip地址相匹配的域名。

3. 客户端连接到服务器的ip地址，所提供的dns服务器。

然而，这个过程可以很容易被滥用，派出毫无戒心的用户在假网站，或路由即将离任的电子邮件，透过未经授权的计算机。 这是通过书写错误的ip地址数据库在dns服务器。 在这种情况下，几乎是不可能的，为客户实现有问题存在。 唯一的办法就是，如果dns服务器的参赛作品是专门检查，或如电脑黑客的服务器花名册。

在的情况下， dns服务器进入，是披荆斩棘，只有即将离任的电子邮件发送到欺骗性的位置，除非邮件服务器使用相同的域名系统服务器作为客户端。 如果是这样的情况下，所有抵港及离港的电子邮件是经由未经授权的计算机。 然而，对于我们来说，我们将假设邮件服务器是利用一个安全的域名系统服务器，其域名查找。

在以下情况下，域名系统服务器是披荆斩棘：

1. 客户b请ip地址为youremail.com 。

2. 该砍死dns服务器响应，一本伪造的192.168.0.10 。

3. b客户端连接到了假的电子邮件服务器发送电子邮件。

4. 假服务器副本电子邮件和它送到真正的邮件服务器。

5. 真正的邮件服务器，使用安全的dns ，发送电子邮件到客户端。

这种情况下可以提供一个黑客与一些有价值的信息。 例如，如果客户端b是一个医生或律师，黑客将有机会获得敏感资料。 如果用户b是对工作高度机密的项目，黑客可以卖资料向竞争对手公司。 或者，如果客户是网上商店，黑客可以捕捉每一个确认电子邮件与客户的地址和/或信用卡号码。

大家可以看到，有一个广阔的潜在损害，从域名系统哄骗。 是否黑客要把一个网站，无形或捕获电子邮件，黑客是不可否认的服务对于那些使用砍死dns服务器。 但幸运的是，有一个解决这个问题。

域名服务器上，可取得可靠。 不过，据估计，约50-75 ％的域名服务器上并不安全。 这是一个众所周知的问题，因此，如果你所关注的可能性，你的dns服务器，是不是安全的，请联系您的互联网服务供应商，并问他们有什么软件，他们使用的，它是否安全，从哄骗攻击。 但愿，他们会知道什么，你所谈论的，并给你一个肯定的答案。