剖析“拒绝服务”攻击

核心提示： 其实SYN攻击的出现与系统自身设计的疏忽有关，首先，剖析“拒绝服务”攻击(3)，SYN是利用了TCP协议规范的疏忽；其次，是系统做的后台！*nix和Win2000/XP的网络架构允许用户通过编程手动设置IP头部，例如ICMP的时间戳洪水，报文洪水不仅危害到服务器，包括源IP、目标IP等，这

其实SYN攻击的出现与系统自身设计的疏忽有关，首先，SYN是利用了TCP协议规范的疏忽；其次，是系统做的后台！*nix和Win2000/XP的网络架构允许用户通过编程手动设置IP头部，包括源IP、目标IP等，这是产生虚假SYN包的关键。Win9x/Me的网络架构不允许用户这样做，因此别指望Win9x/Me下使用这些工具能对服务器构成威胁了。

目前依然没有任何有效的软措施能抵挡SYN攻击，唯一的办法只有使用硬件防火墙，它从物理线路上直接过滤掉虚假的SYN数据包，但是价格昂贵，很多人只能痛心的看着他们的服务器被SYN数据包折磨得CPU持久不下100%……

有人说了，“难怪我的机器经常慢，原来有人SYN我！”等等等等，先听我说完。SYN攻击因为数据包很小，不能造成阻塞网络的危害，对没有开任何TCP服务的用户是不起作用的，即使有人正在SYN攻击你，你也察觉不到异常情况，除非你开了WEB服务之类。

记得有句话怎么说来着？慌乱的人群比灾难本身更可怕。

2.洪水来了——常见的各种报文洪水攻击（Flood DoS）

任何东西都会有个极限，人类做的防御工事也一样。再坚固的石头在流水猛烈的撞击下也会破裂，洪水瞬间溢了出来，淹没了所有东西。

嗜好拒绝服务攻击的集体们当然没理由不用洪水攻击，SYN不是万能药。某些时候阻止对方正常通讯要比SYN有用些，于是一种攻击方式又诞生了，这就是报文洪水。

网络中传输的数据都以一定的速度和大小传输着，用过拨号的朋友都知道，当你下载几个文件的时候，网页打开的速度会变得很慢，这是因为下载文件数据已经占满了你得到的网络带宽，就和公路塞车一样，所以其他数据只能挤进来。“报文洪水”因此产生，攻击者用工具不停向受害者发送一堆数据包，它们通常体积很小，所以速度很快，这些无用数据包迅速塞满了你的网络带宽，于是网络就慢下来了，如果数据包很多很快或者你的网络速度比较慢，这时候对你而言就是你已经和网络断开了。在这种攻击模式里，ICMP报文是最佳首选，因为它没有流量控制，几乎是横冲直撞！防火墙无法防止这种攻击，因为它阻塞的是防火墙前面那条信息公路，而不是要进入机器。制造洪水的工具也多，如蜗牛炸弹、AnGryPing等。早期的洪水只是单纯的塞路而已，现在某些特殊报文已经能达到让CPU满负荷的效果，例如ICMP的时间戳洪水。报文洪水不仅危害到服务器，个人用户更受其害——带宽更小。