DoS 攻击

　　通常而言， DoS 的网络数据包同样是利用 TCP/IP 协议在 Internet 传输。这些数据包本身一般是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载，迅速消耗了系统资源，造成服务拒绝，这就是 DoS 攻击的基本工作原理。

　　DoS 攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效的检测到 DoS 攻击。加之许多 DoS 攻击都采用了伪造源地址 IP 的技术，从而成功的躲避了基于统计模式工具的识别。

　具体 DOS 攻击实现有如下几种方法：

　　1 、 SYN FLOOD

　　利用服务器的连接缓冲区，设置特殊的 TCP 包头，向服务器端不断地发送大量只有 SYN 标志的 TCP 连接请求。当服务器接收的时候，认为是没有建立起来的连接请求，于是这些请求建立会话，排到缓冲区队列中。如果发送的 SYN 请求超过了服务器能容纳的限度，缓冲区队列占满，那么服务器就不再接收新的请求了，因此其他合法用户的连接都会被拒绝掉。

　　2 、 IP 欺骗 DOS 攻击

　　这种攻击利用 RST 位来实现。假设现在有一个合法用户 (1.1.1.1) 已经同服务器建立了正常的连接，攻击者构造攻击的 TCP 数据，伪装自己的 IP 为 1.1.1.1 ，并向服务器发送一个带有 RST 位的 TCP 数据段。服务器接收到这样的数据后，会认为从 1.1.1.1 发送的连接有错误，从而清空缓冲区中建立好的连接。这时，如果合法用户 1.1.1.1 再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击者伪造大量的 IP 地址，向目标主机发送 RST 数据，从而使服务器不对合法用户服务。

　　3 、 带宽 DOS 攻击（ UDP Flood ， ICMP Flood ）

　　这类攻击完全利用连接带宽足够大，持续向目标服务器发送大量请求，如 UDP 的包， ICMP 的 ping 包，来消耗服务器的缓冲区，或者仅消耗服务器的连接带宽，从而达到网络拥塞，使服务器不能正常提供服务。