拒絕服務(wù)攻擊

1、拒絕服務(wù)攻擊組員：徐姚 徐佳豪 徐書(shū)軍 夏偉恩 胡炯炯 姚欣 夏偉成一、 了解Dos攻擊(1) DOS攻擊概述DoS是Denial of Service的簡(jiǎn)稱(chēng)，即拒絕服務(wù)，造成DoS的攻擊行為被稱(chēng)為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。DoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放的進(jìn)程或者允許的連接

2、。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果。(2) 概念理解DoS到底是什么？接觸PC機(jī)較早的同志會(huì)直接想到微軟磁盤(pán)操作系統(tǒng)的DOS-DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務(wù)的縮寫(xiě)。 作個(gè)形象的比喻來(lái)理解DoS。街頭的餐館是為大眾提供餐飲服務(wù)，如果一群地痞流氓要DoS餐館的話，手段會(huì)很多，比如霸占著餐桌不結(jié)賬，堵住餐館的大門(mén)不讓路，騷擾餐館的服務(wù)員或廚子不能干活，甚至更惡劣相應(yīng)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)則是為internet用戶提供互聯(lián)網(wǎng)資源的，如

3、果有黑客要進(jìn)行DoS攻擊的話，可以想象同樣有好多手段！今天最常見(jiàn)的DoS攻擊有對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。(3) 表現(xiàn)方式無(wú)論是DoS攻擊還是DDoS攻擊，簡(jiǎn)單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實(shí)現(xiàn)方式千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及時(shí)回應(yīng)外界請(qǐng)求。其具體表現(xiàn)方式有以下幾種： 1，制造

4、大流量無(wú)用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法正常和外界通信。 2，利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理其它正常的請(qǐng)求。 3，利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤的分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。(4) 攻擊流程要理解dos攻擊，首先要理解TCP連接的三次握手過(guò)程(Three-way hand shake)。在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個(gè)連接。1 第一次握手:建立連

5、接時(shí)，客戶端發(fā)送SYN包(SYN=i)到服務(wù)器，并進(jìn)入SYN SEND狀態(tài)，等待服務(wù)器確認(rèn);第二次握手:服務(wù)器收到SYN包，必須確認(rèn)客戶的SYN (ACK=i+1 )，同時(shí)自己也發(fā)送一個(gè)SYN包(SYN=j)即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);1 第三次握手:客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=j+1)，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手，客戶端與服務(wù)器開(kāi)始傳送數(shù)據(jù)。 上述名詞概念：半連接:收到SYN包而還未收到ACK包時(shí)的連接狀態(tài)稱(chēng)為半連接，即尚未完全完成三次握手的TCP連接。半連接隊(duì)列:在

6、三次握手協(xié)議中，服務(wù)器維護(hù)一個(gè)半連接隊(duì)列，該隊(duì)列為每個(gè)客戶端的SYN包(SYN=i )開(kāi)設(shè)一個(gè)條目，該條目表明服務(wù)器已收到SYN包，并向客戶發(fā)出確認(rèn)，正在等待客戶的確認(rèn)包。這些條目所標(biāo)識(shí)的連接在服務(wù)器處于SYN_ RECV狀態(tài)，當(dāng)服務(wù)器收到客戶的確認(rèn)包時(shí)，刪除該條目，服務(wù)器進(jìn)入ESTABLISHED狀態(tài)。Backlog參數(shù):表示半連接隊(duì)列的最大容納數(shù)目。1 SYN-ACK重傳次數(shù):服務(wù)器發(fā)送完SYN-ACK包，如果未收到客戶確認(rèn)包，服務(wù)器進(jìn)行首次重傳，等待一段時(shí)間仍未收到客戶確認(rèn)包，進(jìn)行第二次重傳，如果重傳次數(shù)超過(guò)系統(tǒng)規(guī)定的最大重傳次數(shù)，系統(tǒng)將該連接信息、從半連接隊(duì)列中刪除。注意，每

7、次重傳等待的時(shí)間不一定相同。1 半連接存活時(shí)間:是指半連接隊(duì)列的條目存活的最長(zhǎng)時(shí)間，也即服務(wù)從收到SYN包到確認(rèn)這個(gè)報(bào)文無(wú)效的最長(zhǎng)時(shí)間，該時(shí)間值是所有重傳請(qǐng)求包的最長(zhǎng)等待時(shí)間總和。有時(shí)也稱(chēng)半連接存活時(shí)間為T(mén)imeout時(shí)間、SYN_RECV存活時(shí)間。1 上面三個(gè)參數(shù)對(duì)系統(tǒng)的TCP連接狀況有很大影響。1 二、 攻擊手段拒絕服務(wù)攻擊是一種對(duì)網(wǎng)絡(luò)危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。2.1死亡之ping最簡(jiǎn)單的基于IP的攻擊

8、可能要數(shù)著名的死亡之ping，這種攻擊主要是由于單個(gè)包的長(zhǎng)度超過(guò)了IP協(xié)議規(guī)范所規(guī)定的包長(zhǎng)度。產(chǎn)生這樣的包很容易，事實(shí)上，許多操作系統(tǒng)都提供了稱(chēng)為ping的網(wǎng)絡(luò)工具。在為Windows操作系統(tǒng)中開(kāi)一個(gè)DOS窗口，輸入ping -l 65500 目標(biāo)ip -t （65500 表示數(shù)據(jù)長(zhǎng)度上限，-t 表示不停地ping目標(biāo)地址）就可達(dá)到該目的。UNIX系統(tǒng)也有類(lèi)似情況。死亡之ping是如何工作的呢？首先是因?yàn)橐蕴W(wǎng)長(zhǎng)度有限，IP包片段被分片。當(dāng)一個(gè)IP包的長(zhǎng)度超過(guò)以太網(wǎng)幀的最大尺寸（以太網(wǎng)頭部和尾部除外）時(shí)，包就會(huì)被分片，作為多個(gè)幀來(lái)發(fā)送。接收端的機(jī)器提取各個(gè)分片，并重組為一個(gè)完整的IP包。在正常

9、情況下，IP頭包含整個(gè)IP包的長(zhǎng)度。當(dāng)一個(gè)IP包被分片以后，頭只包含各個(gè)分片的長(zhǎng)度。分片并不包含整個(gè)IP包的長(zhǎng)度信息，因此IP包一旦被分片，重組后的整個(gè)IP包的總長(zhǎng)度只有在所在分片都接受完畢之后才能確定。在IP協(xié)議規(guī)范中規(guī)定了一個(gè)IP包的最大尺寸，而大多數(shù)的包處理程序又假設(shè)包的長(zhǎng)度超過(guò)這個(gè)最大尺寸這種情況是不會(huì)出現(xiàn)的。因此，包的重組代碼所分配的內(nèi)存區(qū)域也最大不超過(guò)這個(gè)最大尺寸。這樣，超大的包一旦出現(xiàn)，包當(dāng)中的額外數(shù)據(jù)就會(huì)被寫(xiě)入其他正常區(qū)域。這很容易導(dǎo)致系統(tǒng)進(jìn)入非穩(wěn)定狀態(tài)，是一種典型的緩存溢出（Buffer Overflow）攻擊。在防火墻一級(jí)對(duì)這種攻擊進(jìn)行檢測(cè)是相當(dāng)難的，因?yàn)槊總€(gè)分片包看起來(lái)都

10、很正常。由于使用ping工具很容易完成這種攻擊，以至于它也成了這種攻擊的首選武器，這也是這種攻擊名字的由來(lái)。當(dāng)然，還有很多程序都可以做到這一點(diǎn)，因此僅僅阻塞ping的使用并不能完全解決這個(gè)漏洞。預(yù)防死亡之ping的最好方法是對(duì)操作系統(tǒng)打補(bǔ)丁，使內(nèi)核將不再對(duì)超過(guò)規(guī)定長(zhǎng)度的包進(jìn)行重組。1 2.2淚滴淚滴攻擊(TearDrop)指的是向目標(biāo)機(jī)器發(fā)送損壞的IP包，諸如重做的包或過(guò)大的包載荷。借由這些手段，該攻擊可以通過(guò)TCP/IP協(xié)議棧中分片重組代碼中的bug來(lái)癱瘓各種不同的操作系統(tǒng)定義： 淚滴攻擊是拒絕服務(wù)攻擊的一種。 淚滴是一個(gè)特殊構(gòu)造的應(yīng)用程序，通過(guò)發(fā)送偽造的相互重疊的IP分組數(shù)據(jù)包，

11、使其難以被接收主機(jī)重新組合。他們通常會(huì)導(dǎo)致目標(biāo)主機(jī)內(nèi)核失措。 淚滴攻擊利用IP分組數(shù)據(jù)包重疊造成TCP/ IP分片重組代碼不能恰當(dāng)處理IP包。 淚滴攻擊不被認(rèn)為是一個(gè)嚴(yán)重的DOS攻擊，不會(huì)對(duì)主機(jī)系統(tǒng)造成重大損失。 在大多數(shù)情況下，一次簡(jiǎn)單的重新啟動(dòng)是最好的解決辦法，但重新啟動(dòng)操作系統(tǒng)可能導(dǎo)致正在運(yùn)行的應(yīng)用程序中未保存的數(shù)據(jù)丟失。2.3UDP泛洪UDP攻擊,又稱(chēng)UDP洪水攻擊或UDP淹沒(méi)攻擊（英文：UDP Flood Attack）是導(dǎo)致基於主機(jī)的服務(wù)拒絕攻擊的一種。UDP 是一種無(wú)連接的協(xié)議，而且它不需要用任何程序建立連接來(lái)傳輸數(shù)據(jù)。當(dāng)攻擊者隨機(jī)地向受害系統(tǒng)的端口發(fā)送 UDP 數(shù)據(jù)包的時(shí)候，就

12、可能發(fā)生了 UDP 淹沒(méi)攻擊。UDP 是User Datagram Protocol的簡(jiǎn)稱(chēng)， 中文名是用戶 數(shù)據(jù)包協(xié)議，是 OSI 參考模型中一種無(wú)連接的 傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)。它是IETF RFC 768是UDP的正式規(guī)范。 當(dāng)受害系統(tǒng)接收到一個(gè) UDP 數(shù)據(jù)包的時(shí)候，它會(huì)確定目的端口正在等待中的 應(yīng)用程序。當(dāng)它發(fā)現(xiàn)該端口中并不存在正在等待的應(yīng)用程序，它就會(huì)產(chǎn)生一個(gè)目的地址無(wú)法連接的 ICMP數(shù)據(jù)包發(fā)送給該偽造的源地址。如果向受害者計(jì)算機(jī)端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時(shí)候，整個(gè)系統(tǒng)就會(huì)癱瘓。2.4SYN FL

13、OODTCP SYN泛洪發(fā)生在OSI第四層，這種方式利用TCP協(xié)議的特性，就是三次握手。攻擊者發(fā)送TCP SYN，SYN是TCP三次握手中的第一個(gè)數(shù)據(jù)包，而當(dāng)服務(wù)器返回ACK后，該攻擊者就不對(duì)其進(jìn)行再確認(rèn)，那這個(gè)TCP連接就處于掛起狀態(tài)，也就是所謂的半連接狀態(tài)，服務(wù)器收不到再確認(rèn)的話，還會(huì)重復(fù)發(fā)送ACK給攻擊者。這樣更加會(huì)浪費(fèi)服務(wù)器的資源。攻擊者就對(duì)服務(wù)器發(fā)送非常大量的這種TCP連接，由于每一個(gè)都沒(méi)法完成三次握手，所以在服務(wù)器上，這些TCP連接會(huì)因?yàn)閽炱馉顟B(tài)而消耗CPU和內(nèi)存，最后服務(wù)器可能死機(jī)，就無(wú)法為正常用戶提供服務(wù)了。大家都知道一個(gè)TCP連接的啟動(dòng)需要經(jīng)歷三次握手的過(guò)程。正常情況下客戶端

14、首先向服務(wù)端發(fā)送SYN報(bào)文，隨后服務(wù)端回以SYN+ACK報(bào)文到達(dá)客戶端，最后客戶端向服務(wù)端發(fā)送ACK報(bào)文完成三次握手，后續(xù)就是上層業(yè)務(wù)數(shù)據(jù)交互，直到某一方斷開(kāi)連接。那么假如在這“握手”的過(guò)程中，客戶端程序因?yàn)槟罎⒌仍?，收到SYN+ACK報(bào)文后不再回以ACK，服務(wù)端將如何處置呢？這時(shí)服務(wù)端會(huì)“優(yōu)雅地”再等等，會(huì)不會(huì)是發(fā)送的包丟失了呢？于是重新發(fā)送一遍SYN+ACK，再收不到來(lái)自客戶端的ACK響應(yīng)的話，就把這次連接丟棄掉。這個(gè)過(guò)程大約會(huì)“優(yōu)雅地”持續(xù)分鐘級(jí)，這個(gè)持續(xù)時(shí)間被稱(chēng)作SYN timeout時(shí)間。如果只有個(gè)別這樣的異常情況，目標(biāo)服務(wù)端處理起來(lái)自是毫不費(fèi)力；可如果大量這樣的情況出現(xiàn)，對(duì)服

15、務(wù)端來(lái)說(shuō)就不堪重負(fù)了。這是為什么呢？如果大量的握手請(qǐng)求涌向TCP服務(wù)端，而它們只發(fā)出SYN報(bào)文而不以ACK響應(yīng)結(jié)束握手，服務(wù)端就要為這每一個(gè)請(qǐng)求都維持約一分多鐘的連接去等待ACK，也就形成所謂的“半連接”。維護(hù)這些半連接是需要消耗很多服務(wù)器的網(wǎng)絡(luò)連接資源的。如果短時(shí)間內(nèi)這些資源幾乎都被半連接占滿，那么正常的業(yè)務(wù)請(qǐng)求在這期間就得不到服務(wù)，處于等待狀態(tài)。更進(jìn)一步的，如果這些半連接的握手請(qǐng)求是惡意程序發(fā)出，并且持續(xù)不斷，那么就會(huì)導(dǎo)致服務(wù)端較長(zhǎng)時(shí)間內(nèi)喪失服務(wù)功能這就形成了DoS（Denial of Service拒絕服務(wù)）攻擊。這種攻擊方式就稱(chēng)為SYN泛洪（SYN flood）攻擊。由于正常的TCP三

16、次握手中發(fā)出去多少SYN報(bào)文，就會(huì)收到多少SYN+ACK報(bào)文。攻擊方需要將這些消息丟棄，同時(shí)為了隱藏自己，于是需要大量偽造泛洪攻擊的源地址，隨機(jī)改成其它地址。為達(dá)到SYN泛洪攻擊的效果，這些偽造的源地址最好無(wú)法響應(yīng)SYN+ACK，如這些源地址的主機(jī)根本不存在，或者被防火墻等網(wǎng)絡(luò)設(shè)施攔截，等等。對(duì)于SYN泛洪攻擊的防范，優(yōu)化主機(jī)系統(tǒng)設(shè)置是常用的手段。如降低SYN timeout時(shí)間，使得主機(jī)盡快釋放半連接的占用；又比如采用SYN cookie設(shè)置，如果短時(shí)間內(nèi)連續(xù)收到某個(gè)IP的重復(fù)SYN請(qǐng)求，則認(rèn)為受到了該IP的攻擊，丟棄來(lái)自該IP的后續(xù)請(qǐng)求報(bào)文。此外合理地采用防火墻等外部網(wǎng)絡(luò)安全設(shè)施也可緩解S

17、YN泛洪攻擊。2.5 Land（LandAttack）攻擊land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。結(jié)果通常使存在漏洞的機(jī)器崩潰。在Land攻擊中，一個(gè)特別打造的SYN包中的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN一ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。對(duì)Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，而 Windows NT 會(huì)變的極其緩慢（大約持續(xù)五分鐘）。LAND攻擊圖示2.6 IP欺騙IP地址欺騙是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他

18、系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式，黑客使用一臺(tái)計(jì)算機(jī)上網(wǎng),而借用另外一臺(tái)機(jī)器的IP地址,從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道。定義：指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種駭客的攻擊形式，駭客使用一臺(tái)計(jì)算機(jī)上網(wǎng),而借用另外一臺(tái)機(jī)器的IP地址,從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道。防火墻可以識(shí)別這種ip欺騙。按照Internet Protocol(IP)網(wǎng)絡(luò)互聯(lián)協(xié)議，數(shù)據(jù)包頭包含來(lái)源地和目的地信息。 而IP地址欺騙，就是通過(guò)偽造數(shù)據(jù)包包頭，使顯示的信息源不是實(shí)際的來(lái)源，就像這個(gè)數(shù)據(jù)包是從另一臺(tái)計(jì)算機(jī)上發(fā)送的。IP地址欺騙攻擊示意圖應(yīng)用方法在網(wǎng)絡(luò)安全

19、領(lǐng)域，隱藏自己的一種手段就是IP欺騙偽造自身的IP地址向目標(biāo)系統(tǒng)發(fā)送惡意請(qǐng)求，造成目標(biāo)系統(tǒng)受到攻擊卻無(wú)法確認(rèn)攻擊源，或者取得目標(biāo)系統(tǒng)的信任以便獲取機(jī)密信息。這兩個(gè)目的對(duì)應(yīng)著兩種場(chǎng)景：場(chǎng)景一，常用于DDoS攻擊（分布式拒絕攻擊），在向目標(biāo)系統(tǒng)發(fā)起的惡意攻擊請(qǐng)求中，隨機(jī)生成大批假冒源IP，如果目標(biāo)防御較為薄弱，對(duì)收到的惡意請(qǐng)求也無(wú)法分析攻擊源的真實(shí)性，從而達(dá)到攻擊者隱藏自身的目的。這類(lèi)場(chǎng)景里一種很有意思的特殊情景來(lái)自于“反射”式DDoS攻擊，它的特點(diǎn)來(lái)自于利用目標(biāo)系統(tǒng)某種服務(wù)的協(xié)議缺陷，發(fā)起針對(duì)目標(biāo)系統(tǒng)輸入、輸出的不對(duì)稱(chēng)性向目標(biāo)發(fā)起吞吐量相對(duì)較小的某種惡意請(qǐng)求，隨后目標(biāo)系統(tǒng)因其協(xié)議缺陷返回大量的響

20、應(yīng)，阻塞網(wǎng)絡(luò)帶寬、占用主機(jī)系統(tǒng)資源。這時(shí)如果攻擊者的請(qǐng)求使用真實(shí)源地址的話，勢(shì)必要被巨大的響應(yīng)所吞沒(méi)，傷及自身。這樣，攻擊者采取IP欺騙措施就勢(shì)在必行了。三、 DDos攻擊分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控

21、程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。定義：首先從一個(gè)比方來(lái)深入理解什么是DDOS。一群惡霸試圖讓對(duì)面那家有著競(jìng)爭(zhēng)關(guān)系的商鋪無(wú)法正常營(yíng)業(yè)，他們會(huì)采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對(duì)手的商鋪，賴著不走，真正的購(gòu)物者卻無(wú)法進(jìn)入；或者總是和營(yíng)業(yè)員有一搭沒(méi)一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營(yíng)者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場(chǎng)空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時(shí)憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路。在信息安全的三要素“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務(wù)攻擊，針對(duì)的目標(biāo)正是“可用性”。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無(wú)法提供正常的服務(wù)。DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)指標(biāo)不高的性能，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加