3.5、拒绝服务攻击

    网络安全中，拒绝服务攻击（DOS）以其危害巨大，难以防御等特点成为骇客经常采用的攻击手段。DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

    3.5.1、被拒绝服务攻击时的现象

    最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务，使得所有可用的操作系统资源都被消耗殆尽，最终服务器无法再处理合法用户的请求。

    如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

    相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用netstat -an命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

    3.5.2、总结为以下几个典型特徵：

•     被攻击主机上有大量等待的TCP连接
•     网络中充斥着大量的无用的数据包，源地址为假
•     制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯
•     利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的
•     服务请求，使受害主机无法及时处理所有正常请求
•     严重时会造成系统死机

    在2006年，拒绝服务攻击已经被提升到了利用僵尸网络BotNet进行大批量攻击的层次，其严重程度已经达到了阻塞国内网络的程度。根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。而据国内不完全统计，中国拥有的“僵尸网络”电脑数量达到120万台，其严重性已不可忽视。

    3.6、社会工程学

    我们通常把基于非计算机的欺骗技术叫做社会工程。社会工程中，攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息，所以受害人相信他。

    社会工程的核心是，攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的，通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。其他目标使侦察环境，找出安装了什么硬件和软件，服务器上装载了什么补丁等等。

    通过社会工程得到的信息是无限的，其严重程度亦可从大量用户被网络钓鱼事件中窥见一斑，攻击者可利用网络钓鱼获得的信息尝试用户信箱及即时通讯工具的账户，从而获取有用的信息。