剖析“拒绝服务”攻击

核心提示： 当然，反射拒绝服务应用比较少的最大原因就在于它的特殊性：它的攻击数据是进入正常服务器，剖析“拒绝服务”攻击(5)，再由正常服务器出来，首先速度就慢了一点；然后被利用的服务器（反射源）有可能无法那么快做出回应，修改协议规范是最好的方法，可是我们的专家不得不面对整个世界的网络结构都要改动所带来

当然，反射拒绝服务应用比较少的最大原因就在于它的特殊性：它的攻击数据是进入正常服务器，再由正常服务器出来，首先速度就慢了一点；然后被利用的服务器（反射源）有可能无法那么快做出回应，那么攻击者的愿望实现反而更远；最后，它把SYN报文改成了反射源回复的ACK报文，性质马上相差十万八千里，相对可怕的SYN变成了报文洪水性质的ACK询问……

不过，反射式拒绝服务攻击的优点也不得不提，它使攻击者的隐蔽性更上一层楼，在这个猫抓老鼠的世界里还是好用的。

三、与洪水抗争

人类不会屈服于洪水，无论大自然发起多大的攻击，人类都会用各种手段去对抗；网络管理员也不会屈服于拒绝服务攻击，于是各个厂商和技术人员一起致力研究抵抗DoS的方法。如同抵抗洪水一样，对DoS也只能抵抗，因为DoS往往都是用虚假的IP地址在被入侵的机器上发起的，所以很难找得到源头。就和洪水一样，人们总不可能在它没发生之前就知道哪个地方会决堤吧。

2003年初发生的SQL蠕虫充分说明了这一点。全球13台根域名服务器一天内被超过几万台电脑发出的洪水淹没，整个世界网络瘫痪。没有人能预测到这事件，虽然它仅仅是一次单纯的UDP报文洪水。

SYN攻击最可怕的一点是它无法用软件手段阻挡，只能靠硬件防火墙，可是硬件防火墙实在太昂贵；报文洪水虽然不能达到降低机器性能的程度，可是它把通讯的道路阻塞了；反射式服务攻击力相对比较弱，尤其是反射ACK，它要求反射源的物理位置和受害者很近，否则攻击效率会大大降低。不要试图在受害机器上嗅探IP，没用的，几乎都是假的，只有原始数据通过的节点能暴露，可是不是任何人都有权力去查看这些设备里的记录的。所以，要找到发起拒绝服务的人很困难。

抵抗洪水方式的拒绝服务只有增大自己的带宽，让洪水不能阻塞完整个通道。或者在它到达之前“引流”——让它打空。

对付SYN只能用硬件防火墙从线路上直接消去SYN数据包。但是，最重要的是价格问题。修改协议规范是最好的方法，可是我们的专家不得不面对整个世界的网络结构都要改动所带来的麻烦。

要有效对抗拒绝服务攻击，我们还有很长的路要走……