---

一、拒绝服务攻击概述

拒绝服务攻击主要以网站、路由器、域名服务器等网络基础设施为攻击目标，危害严重。

1、按攻击目标分类

结点型DoS攻击：主机型争对计算机硬件及系统进行攻击和应用型争对软件服务器进行攻击。
网络连接型Dos攻击

2、按攻击方式分类

资源破坏型Dos攻击：耗尽网络带宽、内存CPU硬盘等资源
物理破坏型Dos攻击：摧毁主机或网络结点
服务终止型Dos攻击：导致服务奔溃或终止

3、按受害者类型分类

服务器端Dos攻击和客户端Dos攻击

4、按攻击是否直接针对受害者分类

直接型Dos攻击和间接型Dos攻击

5、按属性分类

攻击静态属性：攻击和攻击本身所决定的，攻击的基本属性
攻击动态属性：攻击的目标，时间，源地址，可改变的属性
攻击交互属性：攻击与具体受害者的配置检测能力相关的属性

6、按舞厅分类

舞伴类：与受害主机通信
风暴类：给受害主机发送大量请求
陷阱类：干扰用户和受害主机通信
介入类：切断用户和受害主机通信

7、按攻击机制分类

剧毒包（杀手包）型（漏洞攻击、协议攻击）：异常包，造成系统处理异常崩溃。
风暴型（带宽攻击）：发送大量网络数据包
重定向型：修改ARP或DNS，数据包重定向别的地方，数据到攻击者主机则是中间人攻击，如果是不存在或者目标主机则是拒绝服务攻击。

二、剧毒包型拒绝服务攻击

1、碎片攻击

版本：Windows 3.1 95 NT 和低版本Linux
措施：发送分片偏移地址offset异常的UDP数据包分片

2、Ping of Death攻击(ICMP Bug攻击）

措施：发送超长的Ping数据包（ICMP包）

3、Land攻击

措施：发送一个源地址和目的地址都是目标主机的TCP SYN包

4、循环攻击（振荡攻击或乒乓攻击）

原理：两个端口都会产生输出，两个输出也是相互间的输入，这两个端口可以是不同系统，也可以是同一主机的两个端口。

三、风暴型拒绝服务攻击

发送大量网络数据包（网络分组，分组即为包），分组类型有TCP洪流、ICMP Echo请求/响应报文、UDP洪流、应用层协议数据包（Http/Https、NTP、SSDP、DNS、SNMP等）

1、直接风暴型拒绝服务攻击（源地址为自己主机）

SYN Flood攻击（半连接二阶段）
Ping 风暴攻击
TCP 连接耗尽攻击（全连接三阶段，耗尽连接资源）
HTTP 风暴攻击

2、间接风暴型拒绝服务攻击（源地址为被攻击主机，目的地址为网络服务器，服务器为反射器）

NTP反射式拒绝服务攻击
  NTP 网络时间同步协议（UDP，端口号123）一个请求包100个响应包
SSDP反射式拒绝服务攻击
  NOTIFY消息发送给用户系统，用户系统会根据该指示去向服务器发送请求，请求量大了，造成拒绝服务攻击。

四、拒绝服务攻击的应用

可以使系统瘫痪，还可以作为特权提升攻击，获取非法访问的一种辅助性手段（利用其拒绝服务的特性迫使受害主机重启，造成后门生效）。

SYN Flood攻击可以实现IP劫持，IP欺骗，实现冒充攻击。

RARP-boot攻击69端口，可以完全控制主机引导过程。‘

DNS拒绝服务攻击，域名冒充，数据重定向的作用。

五、拒绝服务攻击的检测及响应技术

有以下四种响应和检测拒绝服务攻击的技术

1、分组过滤

对特定的流量进行丢弃（过滤）

2、源端控制

封禁源IP

3、追溯

追溯有三种：IP追溯（部分路径信息标记经过路由器的分组），ICMP追溯，链路测试（输入调试，受控涌入，两种方式）

4、路由器动态检测和控制

检测有共同特征的流聚集，通知上游路由器，限制减少该类分组的转发效率，这种通知可能一直回传到源头，从而溯源成功。

六、流量清洗

抗DDos攻击流量清洗系统由攻击检测系统、攻击缓解系统、监控管理系统三部分组成.

七、简答题

1. 拒绝服务攻击这种攻击形式存在的根本原因是什么，是否能完全遏制这种攻击？

答：网络和系统资源是有限的，不能完全遏制。

2. 拒绝服务攻击的核心思想是什么？

答：依靠消耗网络带宽或系统资源(如，处理机、磁盘、内存)导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务或使服务质量显著降低，或通过更改系统配置使系统无法正常工作(如，更改路由器的路由表)，来达到攻击的目的。

3. 简述拒绝服务攻击的检测方法。

答：1、分组过滤。2、源端控制。3、追溯。4、路由器动态检测和控制

4. 如何利用 IP 协议进行 DoS 攻击？

答：泪滴攻击（Teardrop）。

5. 如何利用 ICMP 协议进行 DoS 攻击？

答：Ping of Death；Ping Flooding。

6. 哪些协议可被攻击者用来进行风暴型 DDoS 攻击？攻击者在选择用做 DDoS 攻击流量的协议时，主要考虑哪些因素？

答：TCP，ICMP，UDP，HTTP/HTTPS、NTP、SSDP、DNS、SNM 等协议经常被用来进行风暴性 DDoS 攻击。主要考虑：没有认证，容易伪造（如无连接特性），协议报文处理能消耗大量资源。反射型 DDoS：无连接特性，网上有大量可用作反射源的服务器，响应远大于请求。

7. 在 6.3.5 节的攻击案例中，DNSPod 是 18 日晚被关闭的，为什么当晚没有出现网络瘫痪，而一直到第二天（19 日晚）才全面爆发？

答：DNS 缓存失效时间。

8. 分析 6.3.5 节的攻击案例，给出 DNSPod、暴风影音软件的改进方案。

答：限制重试次数和时间间隔。

9. 如何利用 DNS 进行网络攻击？设计几种可能的攻击方案。

答：略。可以用 DNS 进行反射型拒绝服务攻击或 DNS 劫持。参考 3.4.9 节。

10. 在网络攻击中，拒绝服务攻击除了用于致瘫攻击目标外，是否还可作为其他攻击的辅助手段？试举例说明。

答： SYN Flood 攻击可以用于 IP 劫持、IP 欺骗等。当攻击者想要冒充 C 跟 B 通信时，通常要求 C 不能响应 B 的消息，为此，攻击者可以先攻击 C（如果它是在线的）使其无法对 B 的消息进行响应。然后攻击者就可以通过窃听发向 C 的数据包，或者猜测发向 C 的数据包中的序列号等，然后冒充 C 与第三方通信。一些系统在启动时会有漏洞，可以通过拒绝服务攻击使之重启，然后在该系统重启时针对漏洞进行攻击。如 RARP-boot，如果能令其重启，就可以将其攻破。有些网络中，当防火墙关闭时允许所有数据包都能通过（特别是对于那些提供服务比保障安全更加重要的场合，如普通的 ISP），则可通过对防火墙进行拒绝服务攻击使其失去作用达到非法访问受保护网络的目的如果攻击者已经修改了系统的管理权限，可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统，以便使改动的配置生效。

11. 如何应对拒绝服务攻击？

答：流量清洗。

12. 简述僵尸网络有几种类型，并分析每种类型的优缺点。

答：基于 IRC 的僵尸网络，基于 P2P 的僵尸网络。前者控制简单，但可靠性差；后者控制复杂，但可靠性高，抗摧毁能力强。

13. 为了应对攻击者利用分片来穿透防火墙，防火墙在检测时进行数据包的重组，仅当重组后的数据包符合通行规则时，数据包片段才可放行。攻击者如何利用防火墙这一处理机制对防火墙进行攻击？

答：大量分片，耗尽防火墙的处理器资源，导致拒绝服务攻击。

14. 在 SYN Flood 攻击中，攻击者为什么要伪造 IP 地址？

答：防止被溯源。

15. 如何检测 SYN Flood 攻击？

答：短时间内收到大量 TCP SYN 包。

16. 直接风暴型拒绝服务攻击与反射式风暴型拒绝服务攻击的区别是什么？有哪些网络协议被攻击者用来进行风暴型拒绝服务攻击？如果你是一个攻击者，你在选择用作风暴型拒绝服务攻击的网络协议时主要考虑哪些因素？(综合题）

答：

1. 直接风暴型 DDoS 与反射式风暴型 DDoS 的主要区别是否用其控制的主机直接
   向受害主机发送攻击数据包，直接风暴型 DDoS 是攻击者直接向攻击目标发送大量的网络
   数据包，而反射型 DDoS 则是攻击者伪造攻击数据包，其源地址为被攻击主机的 IP 地址，
   目的地址为网络上大量网络服务器或某些高速网络服务器，通过这些服务器（作为反射器）
   的响应实施对目标主机的拒绝服务攻击。
   2）常见用于风暴型拒绝服务攻击的协议有：ICMP, UDP, TCP, HTTP, NTP, DNS, SSDP,
   CharGEN, SNMP, Memcached 等。
   3）主要有 3 点：一是协议具有无连接特性，二是互联网上有很多可探测到的支持该协
   议的服务器，三是该协议的部分请求报文大小远小于响应报文的大小。