DOS攻击的原理与防范
DOS攻击有哪些攻击原理？有哪些攻击防范？大多数人却不清楚，有些人或许只知道DOS攻击是造成DOS的攻击行为，是使网络或计算机无法能正常的运行的操作系统。DOS攻击有很多种，下面我就来为大家重点分析DOS攻击的原理和谈谈如何去防范DOS攻击。

SYN Flood攻击

原理：

问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这 种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒 -2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常 多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最 后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从 正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

防范：

第一种是缩短SYN Timeout时间；

第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

>netstat -n -p tcp >result.txt

DRDOS

原理：

攻击时，攻击者巧妙的利用了反弹服务器群来将洪水数据包反弹给目标主机 反弹服务是指某些服务器在收到一个请求数据报后就会产生一个回应数据报。所有的 Web 服务器、DNS 服务器及路 由器都是反弹服务器，他们会对 SYN 报文或其他 TCP 报文回应 SYNACKs 或 RST 报文， 以及对一些 IP 报文回应 ICMP 数据报超时或目的地不可达消息的数据 报。任何用于普通目的 TCP 连 接许可的网络服务器都可以用做数据包反射服务器。
Smurf攻击

原理：

发送伪装的ICMP数据包，目的地址设为某个网络的广播地址，源地址设为要攻击的目的主机，使所有收到此ICMP数据包的主机都将对目的主机发出一个回应，使被攻击主机在某一段时间内收到 成千上万的数据包

防范：

在cisco路由器上配置如下可以防止将包传递到广播地址上:

Router(config-if)# no ip directed-broadcast

Ping of Death

原理：

"ping of death"攻击就是我们常说的"死亡Ping"。

这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃；通常不可能发送大于65536个字节的ICMP包，但可以把报文分割成片段，然后在目标主机上重组；最终会导致被攻击目标缓冲区溢 出，引起拒绝服务攻击。有些时候导致telne和http服务停止，有些时候路由器重启。

泪滴攻击

原理：

对于一些大的IP数据包，往往需要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个6 000字节的IP包，在MTU为2 000的链路上传输的时候，就需要分成3个IP 包。在IP报头中有一个偏移字段和一个拆分标志（MF）。如果MF标志设置为1，则表示这个IP包是一个大IP包的片段，其中偏移字段指出了这个片段在整个IP包中的位置。例如，对一个6 000字 节的IP包进行拆分（MTU为2 000），则3个片段中偏移字段的值依次为0，2 000，4 000。这样接收端在全部接收完IP数据包后，就可以根据这些信息重新组装这几个分次接收的拆分IP包。在这 里就有一个安全漏洞可以利用了，就是如果黑客们在截取IP数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合这些拆 分的数据包，但接收端会不断尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。

如何防范dos攻击

1、确保服务器的系统文件是最新的版本，并及时更新系统补丁。
 
2、关闭不必要的服务。 

3、限制同时打开的SYN半连接数目。 

4、缩短SYN半连接的time out 时间。 

5、正确设置防火墙，禁止对主机的非开放服务的访问限制，特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。 

6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。 

7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客， 无疑是给了对方入侵的机会。

综上所述，我相信各位读者都知道如何去防范DOS攻击了吧。其实，防范DOS攻击的方法很简单，只要我们都能按时认真的检查下主机和网络设备的话，我相信大家的电脑受DOS攻击的现象就不会常出现，就不会给他人入侵的机会等。希望本文能让大家在工作上有所帮助。

浏览过本文的人也浏览了：

什么是DOS？
http://baike.cntronics.com/abc/4966

无线传感器网络上的安全问题及解决方案
http://bbs.cntronics.com/redirect.php?fid=19&tid=69100&goto=nextnewset

电脑必备的输入输出设备有哪些
http://baike.cntronics.com/abc/1817