摘要： 本文对拒绝服务（DoS）攻击的分类和典型攻击手段进行阐述，介绍了“杀手型”、“风暴型”和“劫持型”三种典型的拒绝服务攻击/分布式拒绝服务攻击类型，进一步提供了DoS攻击预防和响应的建议。
关键词：应急响应　　拒绝服务　　分布式拒绝服务　　计算机取证

    2008年5月，在EuSecWest安全会议上，HP安全研究人员公开了一种针对网络设备的新攻击方法，称为“永久拒绝服务攻击（PDoS）”。这种攻击方法利用固件程序（Firmware）闪存更新 (Flash Update) 功能进行拒绝服务（DOS）攻击, 对嵌入式系统设备有极大威胁；一旦在更新过程中被植入木马，恶意程序将跟随机器启动，直接造成硬件不能工作或损坏。这不禁让人联想到2004到2006年间在美国发生的多次大规模停电事故，针对基础设施的攻击已不再是仅存于科幻小说里面的情节，对于拒绝服务攻击应急响应的需求正在扩展。

一、DOS攻击种类大盘点
    DoS （Denial of Service）攻击简称为拒绝服务攻击，是一种主要通过让合法用户无法得到服务的简单而有效的网络攻击方式。实施拒绝服务攻击的目的就是拒绝用户的正常访问，破坏组织的正常运行。拒绝服务攻击的分类方法有多种，不同的应用场合采用不同的分类。
    按攻击形式分可以是物理的，也可以是逻辑的。物理形式的攻击如偷窃、破坏物理设备，破坏电源，剪断光纤电缆等。逻辑形式的攻击如利用软件漏洞、协议缺陷进行的攻击。 按攻击的目标又可分为节点型和网络连接型，前者旨在消耗节点（主机Host）资源，后者旨在消耗网络连接和带宽。
    在本文中，我们主要讨论网络拒绝服务攻击/分布式拒绝服务攻击的一些典型攻击手段，它主要包括“杀手型”、“风暴型”和“劫持型”拒绝服务攻击/分布式拒绝服务攻击。
    (1)“杀手型”拒绝服务攻击。
    “杀手包”型拒绝服务攻击是一种最传统的网络拒绝服务攻击，它主要利用网络协议及其网络应用实现中存在的漏洞，发送一些特殊构造的包，即“杀手包”，使受害者系统在处理时产生异常，导致受害者系统不可用。常见的“杀手包”型攻击包括死亡之ping （ping of death）、泪滴攻击（teardrop）等。
    1. 死亡之ping （ping of death）——由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。
    2. 泪滴攻击（teardrop）——泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。
    (2)“洪水型”分布式拒绝服务攻击。“洪水型”分布式拒绝服务攻击是一种最典型的网络分布式拒绝服务攻击，它主要利用网络协议及其网络实现中的缺陷或对其正常功能进行精心滥用，在攻击受害者处产生大量分布流量从而导致受害者网络和系统无法正常使用。常见的 “洪水型”分布式拒绝服务攻击包括UDP洪水（UDP flood）、SYN洪水（SYN flood）、Smurf攻击、Fraggle攻击和电子邮件炸弹等。

(责任编辑：adminadmin2008)