什麼是拒絕服務？

拒絕服務或 DoS 是一個術語，用於描述對機器或網絡的數字攻擊，旨在使其無法使用。在許多情況下，這意味著向收件人發送大量請求或大量流量，以致於導致故障。有時，這也可能意味著發送更少量的特定的、破壞性的信息來觸發崩潰，例如。

更詳細地解釋這個過程——連接到網絡的機器可以處理（也就是說���發送和接收）一定數量的流量並且仍然可以運行。流量大小取決於多種因素，例如請求的大小和傳輸的信息。以及網絡連接的質量和強度。

當發出太多請求時，網絡將難以跟上。在某些情況下，請求將被丟棄或得不到答复。如果超額過高，則網絡或接收機器都可能出現問題，包括錯誤和關機。

攻擊類型

有許多不同類型的 DoS 攻擊，具有不同的目標和攻擊方法。一些最受歡迎的包括：

同步洪水

SYN 泛洪（發音為“sin”）是一種攻擊，攻擊者在這種攻擊中發送快速、重複的連接請求，但沒有最終確定。這迫使接收方使用他們的資源來打開和保持新的連接，等待他們解決。這不會發生。這會消耗資源並減慢或使受影響的系統完全無法使用。

可以把它想像成回复 DM——如果賣家收到一百個關於他們想要出售的汽車的請求。他們必須花費時間和精力來回复他們。如果其中 99 篇都讓賣家閱讀，那麼真正的買家可能得不到回复或回復得太晚了。

SYN 泛洪攻擊的名稱來源於攻擊中使用的數據包。SYN 是數據包的名稱，用於通過作為大多數互聯網流量基礎的傳輸控制協議或 TCP 建立連接。

緩衝區溢出攻擊

當程序使用系統可用的任何內存超過其內存分配時，就會發生緩衝區溢出。因此，如果它被如此多的信息淹沒，分配的內存將不足以處理它。因此，它也會覆蓋相鄰的內存位置。

有不同類型的緩衝區溢出攻擊。例如，發送少量信息以誘使系統創建一個小緩衝區，然後再用大量信息淹沒它。或者那些發送格式錯誤的輸入。無論受影響的程序是什麼，任何形式的它都可能導致錯誤、關閉和不正確的結果。

死亡之平

名稱相對幽默的 PoD 攻擊會向計算機發送格式錯誤或惡意的 ping，以使其發生故障。正常的 ping 數據包最多約為 56-84 字節。但是，這不是限制。它們可以大到 65k 字節。

某些系統和機器的設計無法處理此類數據包，這會導致所謂的緩衝區溢出，這通常會導致系統崩潰。它也可以用作注入惡意代碼的工具，在某些情況下關閉不是目標。

分佈式 DoS 攻擊

DDoS 攻擊是一種更高級的 DoS 攻擊形式——它們由多個系統組成，這些系統協同工作以對單個目標執行協調的 DoS 攻擊。這不是一對一的攻擊，而是多對一的情況。

一般來說，DDoS 攻擊更有可能成功，因為它們可以產生更多的流量，更難避免和預防，並且可以很容易地偽裝成“正常”流量。DDoS 攻擊甚至可以通過代理來完成。假設第三方設法用惡意軟件感染“無辜”用戶的機器。在這種情況下，他們可以使用該用戶的機器來參與他們的攻擊。

防禦 (D)DoS 攻擊

DoS 和 DDoS 攻擊是相對簡單的方法。它們不需要攻擊者擁有特別高的技術知識或技能。如果成功，它們可以對重要站點和系統產生巨大影響。然而，即使是政府網站也發現自己以這種方式被關閉。

有多種不同的方法可以抵禦 DoS 攻擊。它們中的大多數工作方式有些相似，並且需要監控傳入流量。SYN 攻擊可以通過阻止特定的數據包組合被處理來阻止，而這種組合不會出現在常規流量中。一旦被識別為 DoS 或 DDoS，黑洞就會被用來保護系統。不幸的是，所有傳入流量（包括真正的請求）都被轉移和丟棄以保持系統的完整性。

您可以配置路由器和防火牆以過濾掉以前攻擊中使用的已知協議和有問題的 IP 地址。它們無助於抵禦更複雜和分佈更廣的攻擊。但仍然是阻止簡單攻擊的基本工具。

雖然在技術上不是防禦，但確保系統中有足夠的空閒帶寬和冗餘網絡設備也可以有效防止 DoS 攻擊得逞。他們依賴於使網絡過載。更強大的網絡更難過載。8 車道的高速公路比 2 車道的高速公路需要更多的車輛來阻擋，就像這樣。

可以通過對軟件（包括您的操作系統）應用補丁來防止很大一部分 DoS 攻擊。許多被利用的問題是開發人員修復或至少提供緩解措施的軟件中的錯誤。但是有些攻擊類型，例如 DDoS，無法通過打補丁來修復。

結論

實際上，任何成功抵禦 DoS 和 DDoS 攻擊的網絡都將通過組合一組可以很好地協同工作的不同預防和對策來做到這一點。隨著攻擊和攻擊者的發展和變得更加複雜，防禦機制也隨之發展。

正確設置、配置和維護可以相對較好地保護系統。但即使是最好的系統也可能會丟棄一些合法流量並允許一些非法請求通過，因為沒有完美的解決方案。