(1内蒙古自治区教学仪器设备供应中心；2内蒙古农业大学，内蒙古 呼 和浩特 010000)
摘 要：文章分析了拒绝服务攻击的特性，指出掌握其原 理及主要攻击方式有助于多层网络安全防范体系。
关键词：服务攻击；tcp/ip协议；icmp协议；syn标志
中图分类号：tp309  文献标识码：a  文章编号：1007—6921(2009)03—0320—02

当用户在浏览器的地址栏里键入某个网站的url地址的时候，是在向这个网站的后台服务 器发送一个浏览网页的请求，但服务器只能同时处理一定数量的请求，因此如果一个攻击者 恶意向服务器发出了超出其负荷的请求，该网站便不能给合法的用户提供正常的服务，这就 形成了简单的拒绝服务。dos是denial of serive 拒绝服务的缩写，是一种对网络服务有效 性的破坏，攻击者利用网络协议实现的缺陷，恶意发送大量带有合理服务请求的攻击数据包 ，以此占用并耗尽被攻击对象的资源(包括：网络带宽、文件系统空间、开放的进程及允许 的连接等)达到使目标计算机或网络无法提供正常资源访问、系统服务停止响应甚至崩溃的 目的。单一的dos攻击采用一对一的攻击方式，当被攻击服务器的运算速度、内存、带宽等 性能指标不高时攻击效果是明显的，但随着计算机的处理能力迅速增长，内存加大以及千 兆级别的网络支持都使得网站对恶意攻击包的“消化能力”大大加强，传统dos攻击失去了 作用。

为了获取足以发起攻击的高带宽资源支持，dos攻击者开发了一种基于dos的采取分布、协作 进攻的大规模拒绝服务攻击，攻击者利用一批受控制的傀儡机集合大量的网络带宽，同时对 一个目标发动攻击，在带宽相对有限的情况下，被攻击主机很容易丧失正常服务功能，这就 是ddos (distributed denial of service)分布式拒绝服务攻击。它利用超出被攻击目标 处理能力数倍的海量数据包消耗可用系统、带宽资源、致使网络服务瘫痪。由于ddos破坏性 大，难以防范，也难以追查攻击源的特点，被认为是当前最有效的主流dos攻击技术。一个 比较完善的ddos攻击体系分成四个部分，黑客、控制傀儡机、攻击傀儡机、受害服务器。控 制傀儡机、攻击傀儡机分别用做控制和实际发起攻击。对受害服务器来说，ddos的实际攻击 包是从攻击傀儡机上发出的，控制机只发布命令而不参与实际的攻击同时负责掩护幕后的黑 客。黑客对两种傀儡机黑客有控制权，并把相应的ddos程序上传到这些平台上，这些程序与 正常的程序一样运行并等待来自黑客的指令。在平时，傀儡机并没有什么异常，只是一旦黑 客连接到它们进行控制，并发出指令的时候，傀儡机就成为害人者去发起攻击了。同时由于 傀儡机的掩护导致真正发起ddos攻击的黑客难以追查。
无

论是dos攻击还是ddo s攻击，虽然具体的实施方式千变万化，但其目的都是使受害主 机或网络无法及时回应或者接收、处理外界的请求，使被攻击主机系统瘫痪、停止服务。具 体表现方式有以下几种：
1 发送大量无用数据，造成被攻击主机的网络拥塞、资源耗尽，使被攻击主机无法 正常和外界通信

网络中的数据是以一定的速度和大小传输着，当传输的数据占满 网络带宽的 时候网站响应速度就会变慢，犹如公路塞车一样。攻击者用工具不停向目标发送一堆数据包 ，它们通常体积很小，所以速度很快，这些无用数据包迅速塞满网络带宽，于是网络传输就 慢下来，在被攻击目标网络带宽相对有限的情况下便形成了堵塞。在这种攻击模式里，icmp 报文是最佳选择，因为它没有流量控制，在网络中可以横冲直撞。早期的icmp攻击只是单纯 的堵路而已，现在利用特殊报文(例如icmp的时间戳洪水)已经能达到让cpu满负荷的效果 。icmp全称internet control message protocol(网际控制信息协议)，是tcp/ip协议集中 的一个子协议,属于网络层协议,在internet上用于错误处理和传递控制信息。这里的控制消 息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。比如我们经常使用的 用于检查网络通不通的ping命令，“ping”的过程实际上就是icmp协议工作的过程。还有其 他的网络命令如跟踪路由的tracert命令也是基于icmp协议的。要使用该协议，可以进行相 应的icmp设置，比如在windows xp中，首先打开“网络连接”，右键单击启用internet连接 防火墙的“网络连接”，选择“属性”打开属性窗口。接着，选择“高级”选项卡，单击右 下角“设置”按钮。然后，在高级设置窗口中选择“icmp”选项卡，在其中就可以进行相应 的设置，包括允许传入的回显请求等。icmp协议本身的特点决定了它非常容易被用于攻击网 络上的路由器和主机。比如，可以利用许多操作系统的tcp/ip协议栈对icmp数据包最大尺寸 不超过64