每年的蘋果新機開賣，都會有許多人徹夜排隊等候購買新機。這時，如果有黃牛僱了10000個人早早的就排上了隊，就會導致想購買新機的普通使用者很難進入到蘋果商店，蘋果也就很難為正常的使用者提供服務。而DoS攻擊正是利用了這個原理來攻擊伺服器或者計算機的。

DoS是Denial of Service的簡稱，即拒絕服務，造成拒絕服務的攻擊就稱為DoS攻擊。

DoS攻擊是指故意的攻擊網路協議實現的缺陷或直接透過野蠻手段殘忍地耗盡被攻擊物件的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，而在此攻擊中並不包括侵入目標伺服器或目標網路裝置。這些服務資源包括網路頻寬，檔案系統空間容量，開放的程序或者允許的連線。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、記憶體容量多大、網路頻寬的速度多快都無法避免這種攻擊帶來的後果。

看完這段專業的解釋，再聯絡一下最開始講的例子，你應該對DoS攻擊有了大體的瞭解了吧。

第三步，我們的手機回覆說：“好！我來了！”

有的人可能會問，這不就跟我們在淘寶上買東西要經歷【買家付款】-【賣家接到付款通知，組織發貨】-【買家收貨確認支付】一樣嗎？

對！如果你能聯想到這個，說明你已經理解了TCP建立連線的過程。下面我們就看看如何在這個過程中做點手腳搗搗亂。

我們設想一下，當很大的一個群人同時在一家淘寶商店買東西，收到貨了卻是遲遲不肯確認支付，可想而知這家店很快就會缺貨，而且沒有資金補充貨物。

TCP泛洪攻擊就是利用了TCP的這個相似缺陷，當伺服器說完“行你來看吧！”以後，如果使用者一直不答覆“好！我來了！”，伺服器就會等待一段時間再說一次“行你來看吧！”，直到重複說“行你來看吧！”的次數達到了設定的上限，伺服器才會知道“哦，他不來了”。當有大量的使用者在伺服器回覆完“行你來看吧！”以後都不回覆了的時候，伺服器會消耗大量的CPU和記憶體來重複的給使用者說“行你來看吧！”，這樣就會導致正常的使用者無法訪問。

1.DOS攻擊就是拒絕服務攻擊是當攻擊者阻止合法使用者訪問特定計算機系統，裝置，服務或其他IT資源時發生的安全事件。拒絕服務（DoS）攻擊通常會使伺服器，系統或網路充滿流量，以淹沒受害者的資源，並使合法使用者難以或無法訪問它們。

2.雖然崩潰伺服器的攻擊通常可以透過簡單地重新啟動系統來成功處理，但洪水攻擊可能更難以從中恢復。從分散式拒絕服務（DDoS）攻擊中恢復，其中攻擊流量來自大量源，可能更加困難。

3.DoS和DDoS攻擊經常使用網路協議處理網路流量的方式中的漏洞; 例如，透過從不同的網際網路協議（IP）地址向易受攻擊的網路服務傳送大量資料包，以使服務無效並使其對合法使用者不可用。

4.DoS攻擊的跡象

如何確定攻擊可根據一些現有的指導方針，以確定何時可能正在進行DoS攻擊。US-CERT宣告以下可能表明此類攻擊：

a.網路效能下降，特別是在嘗試開啟儲存在網b.絡上的檔案或訪問網站時;

c.無法訪問特定網站;

d.訪問網站時遇到困難; 和

e.垃圾郵件的數量高於平時。

5.防止DoS攻擊

專家建議採取一系列策略來防禦DoS和DDoS攻擊，從提前準備事件響應計劃開始。

5.1當企業懷疑正在進行DoS攻擊時，它應聯絡其網際網路服務提供商（ISP）以確定該事件是否是實際的DoS攻擊或由其他因素引起的效能下降。ISP可以透過重新路由或限制惡意流量並使用負載平衡器來減少攻擊的影響，從而幫助緩解DoS和DDoS 。

5.2企業可能還希望探索使用拒絕服務攻擊檢測產品進行DoS保護的可能性; 一些入侵檢測系統，入侵防禦系統和防火牆提供DoS檢測功能。其他策略包括與備份ISP簽訂合同並使用基於雲的反DoS

5.3Botnet DDoS防禦 防禦殭屍網路驅動的分散式拒絕服務攻擊,雖然有些情況下攻擊者要求受害者付款以結束DoS或DDoS攻擊，但財務利潤通常不是此類攻擊背後的動機。在許多情況下，攻擊者希望對攻擊中的目標組織或個人造成傷害。在其他情況下，襲擊者只是試圖透過對最大數量的受害者造成最大的傷害或不便來破壞受害者。當識別出DoS攻擊的實施者時，也可以揭示攻擊的原因。

6.許多備受矚目的DoS攻擊實際上是分散式攻擊，這意味著攻擊流量來自多個攻擊系統。雖然源自單個源或IP地址的DoS攻擊可以更容易緩解，因為防禦者可以阻止來自違規源的網路流量，但是從多個攻擊系統發出的攻擊更難以檢測和防禦。當從似乎位於網際網路上的 IP地址傳送資料包時，很難區分合法流量和惡意流量並過濾掉惡意資料包。

7.DoS攻擊的型別

除了區分單源拒絕服務攻擊和DDoS攻擊之外，還可以透過攻擊中使用的方法對DoS攻擊進行分類。

7.1在擴充套件域名系統（DNS）拒絕服務攻擊中，攻擊者生成精心設計的DNS請求，這些請求似乎源自受害者網路中的IP地址，並將其傳送到由第三方管理的配置錯誤的DNS伺服器。當中間DNS伺服器響應偽造的DNS請求時發生放大。從中間DNS伺服器到精心設計的攻擊請求的響應可能包含比普通DNS響應更多的資料，這需要更多資源來處理。這可能導致合法使用者被拒絕訪問該服務。

7.2應用層攻擊會為網際網路應用伺服器（尤其是DNS 伺服器或HTTP伺服器）產生虛假流量。雖然一些應用程式層拒絕服務攻擊僅依賴於使用網路資料充斥應用程式伺服器，但其他攻擊依賴於利用受害者應用程式伺服器或應用程式協議本身的弱點或漏洞。

7.3一個緩衝區溢位攻擊是一種包羅永珍的描述最常應用於傳送更多的流量比是誰設計它曾經預計開發商的網路資源的DoS攻擊。此類攻擊的一個示例是使用Netscape或Microsoft 電子郵件客戶端將具有256個字元檔名的檔案作為附件傳送給收件人; 長於預期的檔名足以使這些應用程式崩潰。

7.4在DDoS攻擊中，攻擊者可能使用已被惡意軟體感染併成為殭屍網路一部分的計算機或其他聯網裝置。分散式拒絕服務攻擊，尤其是那些使用殭屍網路的攻擊，使用命令和控制（C＆C）伺服器來指導殭屍網路成員的操作。C＆C伺服器規定了要發起的攻擊型別，要傳輸的資料型別以及攻擊所針對的系統或網路資源。

7.5該平的死亡攻擊濫用的超大有效載荷傳送請求訊息，從而導致目標系統的Ping協議，成為不堪重負，停止響應服務請求合法，並有可能崩潰受害者的系統。

7.6一個SYN洪水攻擊濫用TCP的握手協議，透過它客戶機建立與伺服器的TCP連線。在SYN泛洪攻擊中，攻擊者指示高容量請求流與受害者伺服器開啟TCP連線，而無意實際完成電路。生成SYN請求流的成本相對較低，但響應此類請求對受害者來說是資源密集型的。結果是成功的攻擊者可以拒絕合法使用者訪問目標伺服器。

當攻擊者透過填充攻擊資料來攻擊防火牆，路由器和其他網路裝置中的狀態表時，就會發生狀態耗盡攻擊 - 也稱為TCP或傳輸控制協議攻擊。當這些裝置包含對網路電路的狀態檢查時，攻擊者可以透過開啟比受害系統可以立即處理的更多TCP 電路來填充狀態表，從而阻止合法使用者訪問網路資源。

7.7淚滴式攻擊以類似於舊作業系統處理碎片化Internet協議資料包的方式利用漏洞。當資料包太大而無法由中間路由器處理時，IP規範允許資料包分段，並且它需要資料包片段來指定片段偏移。在淚滴攻擊中，片段偏移被設定為彼此重疊。執行受影響的作業系統的主機無法重新組裝碎片，攻擊可能會導致系統崩潰。

7.8容量DoS攻擊旨在透過使用可用於獲取這些資源的所有頻寬來干擾對網路資源的合法訪問。為此，攻擊者必須在受害者系統中引導大量網路流量。使用使用者資料報協議或Internet控制訊息協議，容量DoS攻擊使用網路資料包淹沒受害者的裝置。這些協議需要相對較少的開銷來生成大量流量，同時，需要受害者網路裝置部分的非平凡計算來處理傳入的惡意資料報。