DoS即Denial Of Service，拒絕服務(wù)的縮寫。DoS是指故意攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷，或直接通過野蠻手段耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。

這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進(jìn)程或者允許的連接。這種攻擊會導(dǎo)致資源匱乏，無論計算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。

事實上，任何事物都有一個極限，所以總能找到一個方法使請求的值大于該極限值，因此就會故意導(dǎo)致所提供的服務(wù)資源匱乏，導(dǎo)致服務(wù)資源無法滿足需求的情況。所以，千萬不要認(rèn)為擁有了足夠?qū)挼膸捄妥銐蚩斓姆?wù)器就有了一個不怕拒絕服務(wù)攻擊的高性能網(wǎng)站，拒絕服務(wù)攻擊會使所有的資源都變得非常渺小。

其實，有個形象的比喻可以深入理解DoS。街頭的餐館是為大眾提供餐飲服務(wù)，如果一群地痞流氓要對餐館進(jìn)行拒絕服務(wù)攻擊的話，手段會很多，比如霸占著餐桌不結(jié)賬，堵住餐館的大門不讓路，騷擾餐館的服務(wù)員或廚子不能干活，甚至更惡劣……;相應(yīng)地，計算機(jī)和網(wǎng)絡(luò)系統(tǒng)是為互聯(lián)網(wǎng)用戶提供互聯(lián)網(wǎng)資源的，如果有黑客要進(jìn)行拒絕服務(wù)攻擊的話，則同樣有好多手段!

今天最常見的拒絕服務(wù)攻擊包括對計算機(jī)網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊是指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。連通性攻擊是指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。

傳統(tǒng)上，攻擊者所面臨的主要問題是網(wǎng)絡(luò)帶寬，由于較小的網(wǎng)絡(luò)規(guī)模和較慢的網(wǎng)絡(luò)速度限制，攻擊者無法發(fā)出過多的請求。雖然類似“the ping of death”的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補(bǔ)丁的UNIX系統(tǒng)，但大多數(shù)的DoS攻擊還是需要相當(dāng)大帶寬的，而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點，DoS攻擊者開發(fā)了分布式的攻擊。攻擊者簡單利用工具集合許多的網(wǎng)絡(luò)帶寬來同時對同一個目標(biāo)發(fā)動大量的攻擊請求，這就是DDoS攻擊。

DDoS(Distributed Denial Of Service)，分布式拒絕服務(wù)攻擊，又把DoS向前發(fā)展了一大步，這種分布式拒絕服務(wù)攻擊是黑客利用在已經(jīng)侵入并已控制的不同的高帶寬主機(jī)(可能是數(shù)百，甚至成千上萬臺)上安裝大量的DoS服務(wù)程序，它們等待來自中央攻擊控制中心的命令，中央攻擊控制中心在適時將啟動全體受控主機(jī)的DoS服務(wù)進(jìn)程，讓它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求，形成一股DoS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DoS攻擊同一個網(wǎng)站。在寡不敵眾的力量抗衡下，被攻擊的目標(biāo)網(wǎng)站會很快失去反應(yīng)而不能及時處理正常的訪問甚至系統(tǒng)癱瘓崩潰。

可見DDoS與DoS的最大區(qū)別是人多力量大。DoS是一臺機(jī)器攻擊目標(biāo)，DDoS是被中央攻擊中心控制的很多臺機(jī)器利用高帶寬攻擊目標(biāo)，可更容易地將目標(biāo)攻下。另外，DDoS攻擊方式較為自動化，攻擊者可以將程序安裝到網(wǎng)絡(luò)中的多臺機(jī)器上，所采用的這種攻擊方式很難被攻擊對象察覺，直到攻擊者發(fā)下統(tǒng)一的攻擊命令，這些機(jī)器才同時發(fā)起進(jìn)攻。

可以說DDoS攻擊是由黑客集中控制發(fā)動的一組DoS攻擊的集合，現(xiàn)在這種方式被認(rèn)為是最有效的攻擊形式，并且非常難以抵擋。

無論是DoS攻擊還是DDoS攻擊，簡單地看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實現(xiàn)方式千變?nèi)f化，但都有一個共同點，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及時回應(yīng)外界請求。

其具體表現(xiàn)方式有以下幾種：

(1)制造大流量無用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信;

(2)利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻地發(fā)出攻擊性的重復(fù)服務(wù)請求，使被攻擊主機(jī)無法及時處理其他正常的請求;

(3)利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤地分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

【編輯推薦】

1. 拒絕服務(wù)攻擊完全解析
2. 6.4.4 針對Web服務(wù)支撐環(huán)境的攻擊技術(shù)
3. 專題：拒絕服務(wù)攻擊DoS專題