我记得上大学时我最喜欢的恶作剧是在门与门框之间的缝隙中塞上几枚硬币，将锁着的锁舌顶在门框上。这样真正的住户就拧不动钥匙，这种把戏似乎非常有趣，直到有一天发生在我身上为止。这就是一种原始形式的拒绝服务。 
　　
　　当然，在企业环境中，DoS（拒绝服务）具有更大的危险性。今天，DoS攻击是困扰IT经理和管理人员，尤其是困扰那些负责对于企业战略取得成功至关重要站点的人员。 
　　
　　一些辩护者一直试图原谅DoS制造者的行为，将这类攻击与儿童无知的恶作剧（如乱按门铃或乱打电话）等同起来。不同之处在于我可以选择不去理睬门铃或电话（我经常这样做）。Internet服务器却没有选择，它只能对网络查询做出响应，而它的不可用性对一家公司来说意味着死亡。 
　　
　　由于你通常不知道敌人是谁，并且常常不知道你的系统会受到多大损害，因此DoS攻击令人感到恐惧。因此，制定防御DoS的策略尤其重要，这个战略既要考虑内部的威胁，也要考虑外部的威胁。 
　　
　　了解攻击者 
　　
　　当然，不是所有的DoS问题都是攻击造成的。一些事故在像Internet这样的非集中式环境中（在这种环境中，一个损坏了的路由表会在几分钟内造成一场灾难）是难避免的。 
　　
　　内部网络面临着类似的问题，尽管精心设计的企业网络可以对数据流进行区分，使问题可以很容易地被孤立出来。但是，实际的攻击既可以来自企业内又可以来自企业外。尽管本文的讨论集中在外部的攻击上，但是，任何减轻DoS事件后果的计划也同样应当考虑到内部威胁的可能性。 
　　
　　不过，虽然存在来自内部的攻击，但是对于使用Internet的公司，安全的最大威胁仍是青少年的恶作剧行为。真正不幸的事情是，今天有许多工具使用户可以从家中就发动攻击,因此DoS的问题可能会越来越严重而不是有所好转。 
　　
　　DoS基础知识 
　　
　　DoS攻击包括很多不同的方式。在这些方式中，三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。 
　　
　　凶猛的DoS攻击包括对联网设备配置的改变或物理攻击。物理的威胁通常最容易防御，传统的“门、警卫和枪”的安全原则在这种情况下可以发挥很好的作用。 
　　
　　自去年起，一种将攻击分布到几台不同的主机上的新攻击方式，带来了网上DoS攻击的盛行。这种方式通过利用多台被入侵主机的总处理能力和网络资源，增加了成功渗透的可能性。这类DDoS（分布式拒绝服务）攻击在1999年变得人所尽知，当时攻击者利用“Stacheldraht”（德语中的“铁丝网”一词）和TribeFloodNet工具造成包括Yahoo和eBay在内的一些最流行的Internet站点的瘫痪。在这两个案例中，这类工具使用了大规模攻击方式来造成被攻击主机的瘫痪。 
　　
　　当然，无论是哪种攻击形式，DoS攻击一直就存在于我们身边：雷达和无线电“阻塞”就是典型的例子。但是，由于Internet正成为经济繁荣的支柱，因此Internet数据流的任何中断都会像一只手正在掐住气管一样。下面是一些DoS破坏者喜爱用来掐住你的喉咙的最常用的方式。 
　　
　　“贪心攫取式”（“hogging”）是一种经典的攻击方式，它通常利用绕过正常的操作系统控制，在一个主机系统上运行程序，消耗系统资源直到操作系统失败并造成主机的瘫痪。 
　　
　　1998年出现的Robert Morris Internet蠕虫就是贪心攫取式攻击的很好例子，虽然由于这种攻击利用邮件发送病毒而一般被归类到特洛伊木马类型。Morris曾打算让他的程序能在几天或几周的时间内悄悄地运行，不被检测到，但是一个拙劣的设计缺陷使它非常快地复制自己，因此在几分钟的时间内造成邮件服务器的瘫痪。 
　　
　　由于这类攻击已经出现了很长一段时间了，因此，许多操作系统采取了基本的防护措施。遗憾的是，正像任何Windows NT管理人员可以证实的那样，向一种操作系统添加特性增加了安全漏洞，因此不能将“强化”系统当作是堵塞漏洞的工程。 
　　
　　“恶意小应用程序”是将目标对准用户而非服务器的一种DoS攻击形式。基于小应用程序的攻击主要是通过使小应用程序可以缺省运行的Web浏览器来劫持计算机。采取不允许小应用程序策略并使其不能运行的企业可以抵御这类攻击，但是，放弃享受小应用程序技术的好处可能是不值得的。 
　　
　　“邮件炸弹”简单但破坏性很大：它们利用大量的伪造数据流使邮件服务器过载。不用说，最大的邮件服务器也有其限度，因此，没有一种邮件系统可以避免这种攻击。 
　　
　　在上面几种情况中，你可能打算使用过滤器来识别和拒绝可疑的数据流，但是，你要冒不接受合法通信的风险。 
　　
　　“死亡之Ping”利用PING（Packet Internet Groper）来发送不合法长度的测试包。尽管这在IP环境中非常常见，但是，现在还没有什么能阻止它在IPX上执行。长度过长的包会在未加保护的系统中造成或引发网络问题。 
　　
　　“SYN泛滥（SYN flooding）”攻击是专门针对TCP的，它试图侵占所有可能的网络连接，从而拒绝对网络服务合法的访问。它利用了对两个主机之间对话进行初始化的SYN（同步顺序号）包的功能。 
　　
　　攻击者通过假冒包发送者的身份，然后发送大量的目标服务器必须回应的假数据包，使服务器忙于进行应答。被攻击的服务器除了可以为少数幸运地躲过虚假请求的用户所使用外，正常用户无法使用。 
　　
　　“Zombies”是指受到攻击者破坏并被其用于攻击（或被其准备用于攻击）的计算机。去年最流行的DoS攻击曾使用Zombie来产生足以造成最常访问的Internet站点运行停止的数据流。 

[1] [2] 下一页