拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把非法用戶的連接復(fù)位，影響合法用戶的連接。

拒絕服務(wù)攻擊方式是多樣的，但是仔細(xì)研究攻擊的模式，可以分為以下四種情況：
a.消耗包括網(wǎng)絡(luò)帶寬、存儲(chǔ)空間、CPU 時(shí)間等資源；
b.破壞或者更改配置信息；
C.物理破壞或者改變網(wǎng)絡(luò)部件；

d.利用服務(wù)程序中的處理錯(cuò)誤使服務(wù)失效。按照攻擊發(fā)起的位置，拒絕服務(wù)攻擊又可以分為傳統(tǒng)的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。

主要攻擊類型

1．死亡之ping（ping of death）
由于在早期的階段，路由器對(duì)所傳輸?shù)奈募畲蟪叽缍加邢拗疲S多操作系統(tǒng)對(duì)TCP／IP的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，一旦產(chǎn)生畸形即聲稱自己的尺寸超過(guò)ICMP上限的包，也就是加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP／IP堆棧崩潰，致使接受方當(dāng)機(jī)。這種攻擊方式主要是針對(duì)Windows 9X操作系統(tǒng)的，而Unix、Linux、Solaris。 Mac OS都具有抵抗一般ping of death攻擊的能力。

2．UDP洪水（UDP flood）
各種各樣的假冒攻擊利用簡(jiǎn)單的TCP／IP服務(wù)。如Chargen和EchQ來(lái)傳送毫無(wú)用處的數(shù)據(jù)來(lái)占用所有的帶寬。通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的元用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。

3．SYN洪水（SYN flood）
一些TCP／IP堆棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的ACK消息，因?yàn)樗麄冎挥邢薅葦?shù)量的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這些緩沖區(qū)內(nèi)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里， SYN洪水具有類似的影響。
不過(guò)未來(lái)的SYN洪水令人擔(dān)憂，這是由于釋放洪水的并不尋求響應(yīng)，所以無(wú)法從一個(gè)簡(jiǎn)單高容量的傳輸中鑒別出來(lái)。

4．Land攻擊
在Land攻擊中，一個(gè)特別打造的SYN包中的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送sYN一ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。對(duì)Land攻擊反應(yīng)不同，許多UNIx實(shí)現(xiàn)將崩潰，而WindowsNT會(huì)變的極其緩慢（大約持續(xù)五分鐘）。

5。Smurf攻擊
一個(gè)簡(jiǎn)單的smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求（ping）數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此iCMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，所以它比ping of deaih洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

6．電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。由于這種攻擊方式簡(jiǎn)單易用，也有很多發(fā)匿名郵件的工具，而且只要對(duì)方獲悉你的電子郵件地址就可以進(jìn)行攻擊，所以這是大家最值得防范的一個(gè)攻擊手段。
7．畸形消息攻擊
目前無(wú)論是Windows、Unix、Linux等各類操作系統(tǒng)上的許多服務(wù)都存在安全隱患問(wèn)題，由于這些服務(wù)在處理信息之前沒(méi)有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，所以一旦在收到畸形的信息就有可能會(huì)崩潰。