攻击与威胁
拒绝服务攻击 (DoS)
定义
通过耗尽系统的带宽、算力、内存或应用层资源,使合法用户无法访问服务的攻击。
DoS 攻击通常从单一或少量来源向某个目标(服务器、应用、链路或设备)发起,旨在降级或停止其服务。手法包括容量型洪水(占满带宽)、协议滥用(如 SYN flood 耗尽连接状态)、应用层资源耗尽(慢速 HTTP 攻击、高开销查询)以及触发崩溃的逻辑缺陷等。与 DDoS 的区别在于其来源较少,但面对资源不足的系统仍可造成严重影响。常见防御措施包括限速、容量规划、Anycast 部署、上游过滤,以及对易引发资源放大的输入进行代码加固。
示例
- 攻击者用单台主机发起 Slowloris 连接,占用 Web 服务器的工作线程,使其无法接受新客户端。
- 某漏洞使一次 HTTP 请求即可占用数 GB 内存并导致服务崩溃。
相关术语
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
死亡之 Ping (Ping of Death)
一种历史性 DoS 攻击,通过发送畸形或超大的 ICMP echo 数据包,使存在缺陷的 TCP/IP 协议栈在重组时崩溃、挂起或重启。
Teardrop 攻击
通过发送 offset 重叠或字段畸形的 IP 分片,使重组逻辑存在缺陷的 TCP/IP 协议栈崩溃的早期 DoS 攻击。
LAND 攻击
构造源 IP 和端口与目的相同的伪造 TCP SYN 数据包,使易受影响的系统陷入死循环或崩溃的早期 DoS 攻击。
Fork 炸弹
通过让进程不断派生(fork)自身,耗尽主机进程表、内存与 CPU 的拒绝服务技术。