1．SYN Flood。SYN Flood是當前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻

擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿(mǎn)負荷或內存不足)的攻擊方式。

SYN Flood攻擊的過(guò)程在TCP協(xié)議中被稱(chēng)為三次握手(Three-way Handshake)，而SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現的。

(1) 攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標志的TCP報文，SYN(Synchronize)即同步報文。同步報文會(huì )指明客戶(hù)端使用的端口以及TCP連接的初始序號。這時(shí)同被攻擊服務(wù)器建立了第一次握手。

(2) 受害服務(wù)器在收到攻擊者的SYN報文后，將返回一個(gè)SYN+ACK的報文，表示攻擊者的請求被接受，同時(shí)TCP序號被加一，ACK(Acknowledgment)即確認，這樣就同被攻擊服務(wù)器建立了第二次握手。

(3) 攻擊者也返回一個(gè)確認報文ACK給受害服務(wù)器，同樣TCP序列號被加一，到此一個(gè)TCP連接完成，三次握手完成。

具體原理是：TCP連接的三次握手中，假設一個(gè)用戶(hù)向服務(wù)器發(fā)送了SYN報文后突然死機或掉線(xiàn)，那么服務(wù)器在發(fā)出SYN+ACK應答報文后是無(wú)法收到客戶(hù)端的ACK報文的(第三次握手無(wú)法完成)，這種情況下服務(wù)器端一般會(huì )重試(再次發(fā)送SYN+ACK給客戶(hù)端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(cháng)度我們稱(chēng)為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數量級(大約為30秒~2分鐘)；一個(gè)用戶(hù)出現異常導致服務(wù)器的一個(gè)線(xiàn)程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì )消耗非常多的CPU時(shí)間和內存，何況還要不斷對這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結果往往是堆棧溢出崩潰—— 即使服務(wù)器端的系統足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無(wú)暇理睬客戶(hù)的正常請求(畢竟客戶(hù)端的正常請求比率非常之小)，此時(shí)從正?？蛻?hù)的角度看來(lái)，服務(wù)器失去響應，這種情況就稱(chēng)作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。

SYN COOKIE 防火墻是SYN cookie的一個(gè)擴展，SYN cookie是建立在TCP堆棧上的，他為linux操作系統提供保護。SYN cookie防火墻是linux的 一大特色，你可以使用一個(gè)防火墻來(lái)保護你的網(wǎng)絡(luò )以避免遭受SYN洪水攻擊。

2．IP欺騙DOS攻擊

這種攻擊利用RST位來(lái)實(shí)現。假設現在有一個(gè)合法用戶(hù)(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為61.61.61.61，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數據段。服務(wù)器接收到這樣的數據后，認為從61.61.61.61發(fā)送的連接有錯誤，就會(huì )清空緩沖區中建立好的連接。這時(shí)，如果合法用戶(hù)61.61.61.61再發(fā)送合法數據，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就必須從新開(kāi)始建立連接。攻擊時(shí)，攻擊者會(huì )偽造大量的IP地址，向目標發(fā)送RST數據，使服務(wù)器不對合法用戶(hù)服務(wù)，從而實(shí)現了對受害服務(wù)器的拒絕服務(wù)攻擊。 

?3. UDP洪水攻擊

攻擊者利用簡(jiǎn)單的TCP/IP服務(wù)，如Chargen和Echo來(lái)傳送毫無(wú)用處的占滿(mǎn)帶寬的數據。通過(guò)偽造與某一主機的Chargen服務(wù)之間的一次的UDP連接，回復地址指向開(kāi)著(zhù)Echo服務(wù)的一臺主機，這樣就生成在兩臺主機之間存在很多的無(wú)用數據流，這些無(wú)用數據流就會(huì )導致帶寬的服務(wù)攻擊。

4.Ping洪流攻擊

由于在早期的階段，路由器對包的最大尺寸都有限制。許多操作系統對TCP/IP棧的實(shí)現在ICMP包上都是規定64KB，并且在對包的標題頭進(jìn)行讀取之后，要根據該標題頭里包含的信息來(lái)為有效載荷生成緩沖區。當產(chǎn)生畸形的，聲稱(chēng)自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì )出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方死機。

5. 淚滴(teardrop)攻擊

淚滴攻擊是利用在TCP/IP堆棧中實(shí)現信任IP碎片中的包的標題頭所包含的信息來(lái)實(shí)現自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重疊偏移的偽造分段時(shí)將崩潰。

6.Land攻擊

Land攻擊原理是：用一個(gè)特別打造的SYN包，它的原地址和目標地址都被設置成某一個(gè)服務(wù)器地址。此舉將導致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結果這個(gè)地址又發(fā)回ACK消息并創(chuàng )建一個(gè)空連接。被攻擊的服務(wù)器每接收一個(gè)這樣的連接都將保留，直到超時(shí)，對Land攻擊反應不同，許多UNIX實(shí)現將崩潰，NT變的極其緩慢(大約持續5分鐘)。

7. Smurf攻擊

一個(gè)簡(jiǎn)單的Smurf攻擊原理就是：通過(guò)使用將回復地址設置成受害網(wǎng)絡(luò )的廣播地址的ICMP應答請求(ping)數據包來(lái)淹沒(méi)受害主機的方式進(jìn)行。最終導致該網(wǎng)絡(luò )的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡(luò )阻塞。它比ping of death洪水的流量高出1或2個(gè)數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。

8.Fraggle攻擊

原理：Fraggle攻擊實(shí)際上就是對Smurf攻擊作了簡(jiǎn)單的修改，使用的是UDP應答消息而非ICMP。

J.Mirkovic和P. Reiher [Mirkovic04]提出了拒絕服務(wù)攻擊的屬性分類(lèi)法，即將攻擊屬性分為攻擊靜態(tài)屬性、攻擊動(dòng)態(tài)屬性和攻擊交互屬性三類(lèi)，根據DoS攻擊的這些屬性的不同，就可以對攻擊進(jìn)行詳細的分類(lèi)。凡是在攻擊開(kāi)始前就已經(jīng)確定，在一次連續的攻擊中通常不會(huì )再發(fā)生改變的屬性，稱(chēng)為攻擊靜態(tài)屬性。攻擊靜態(tài)屬性是由攻擊者和攻擊本身所確定的，是攻擊基本的屬性。那些在攻擊過(guò)程中可以進(jìn)行動(dòng)態(tài)改變的屬性，如攻擊的目標選取、時(shí)間選擇、使用源地址的方式，稱(chēng)為攻擊動(dòng)態(tài)屬性。而那些不僅與攻擊者相關(guān)而且與具體受害者的配置、檢測與服務(wù)能力也有關(guān)系的屬性，稱(chēng)為攻擊交互屬性。

1．攻擊靜態(tài)屬性（Static）

攻擊靜態(tài)屬性主要包括攻擊控制模式、攻擊通信模式、攻擊技術(shù)原理、攻擊協(xié)議和攻擊協(xié)議層等。

（1）攻擊控制方式（ControlMode）

攻擊控制方式直接關(guān)系到攻擊源的隱蔽程度。根據攻擊者控制攻擊機的方式可以分為以下三個(gè)等級：直接控制方式（Direct）、間接控制方式（Indirect）和自動(dòng)控制方式（Auto）。

最早的拒絕服務(wù)攻擊通常是手工直接進(jìn)行的，即對目標的確定、攻擊的發(fā)起和中止都是由用戶(hù)直接在攻擊主機上進(jìn)行手工操作的。這種攻擊追蹤起來(lái)相對容易，如果能對攻擊包進(jìn)行準確的追蹤，通常就能找到攻擊者所在的位置。由于直接控制方式存在的缺點(diǎn)和攻擊者想要控制大量攻擊機發(fā)起更大規模攻擊的需求，攻擊者開(kāi)始構建多層結構的攻擊網(wǎng)絡(luò )。多層結構的攻擊網(wǎng)絡(luò )給針對這種攻擊的追蹤帶來(lái)很大困難，受害者在追蹤到攻擊機之后，還需要從攻擊機出發(fā)繼續追蹤控制器，如果攻擊者到最后一層控制器之間存在多重跳板時(shí)，還需要進(jìn)行多次追蹤才能最終找到攻擊者，這種追蹤不僅需要人工進(jìn)行操作，耗費時(shí)間長(cháng)，而且對技術(shù)也有很高的要求。這種攻擊模式，是目前最常用的一種攻擊模式。自動(dòng)攻擊方式，是在釋放的蠕蟲(chóng)或攻擊程序中預先設定了攻擊模式，使其在特定時(shí)刻對指定目標發(fā)起攻擊。這種方式的攻擊，從攻擊機往往難以對攻擊者進(jìn)行追蹤，但是這種控制方式的攻擊對技術(shù)要求也很高。Mydoom蠕蟲(chóng)對SCO網(wǎng)站和Microsoft網(wǎng)站的攻擊就屬于第三種類(lèi)型[TA04-028A]。 （2）攻擊通信方式（CommMode）

在間接控制的攻擊中，控制者和攻擊機之間可以使用多種通信方式，它們之間使用的通信方式也是影響追蹤難度的重要因素之一。攻擊通信方式可以分為三種方式，分別是：雙向通信方式（bi）、單向通信方式（mono）和間接通信方式（indirection）。

雙向通信方式是指根據攻擊端接收到的控制數據包中包含了控制者的真實(shí)IP地址，例如當控制器使用TCP與攻擊機連接時(shí)，該通信方式就是雙向通信。這種通信方式，可以很容易地從攻擊機查找到其上一級的控制器。

單向通信方式指的是攻擊者向攻擊機發(fā)送指令時(shí)的數據包并不包含發(fā)送者的真實(shí)地址信息，例如用偽造IP地址的UDP包向攻擊機發(fā)送指令。這一類(lèi)的攻擊很難從攻擊機查找到控制器，只有通過(guò)包標記等IP追蹤手段，才有可能查找到給攻擊機發(fā)送指令的機器的真實(shí)地址。但是，這種通信方式在控制上存在若干局限性，例如控制者難以得到攻擊機的信息反饋和狀態(tài)。

間接通信方式是一種通過(guò)第三者進(jìn)行交換的雙向通信方式，這種通信方式具有隱蔽性強、難以追蹤、難以監控和過(guò)濾等特點(diǎn)，對攻擊機的審計和追蹤往往只能追溯到某個(gè)被用于通信中介的公用服務(wù)器上就再難以繼續進(jìn)行。這種通信方式目前已發(fā)現的主要是通過(guò)IRC（Internet Relay Chat）進(jìn)行通信[Jose Nazario]，從2000年8月出現的名為T(mén)rinity的DDoS攻擊工具開(kāi)始，已經(jīng)有多種DDoS攻擊工具及蠕蟲(chóng)采納了這種通信方式。在基于IRC的傀儡網(wǎng)絡(luò )中，若干攻擊者連接到Internet上的某個(gè)IRC服務(wù)器上，并通過(guò)服務(wù)器的聊天程序向傀儡主機發(fā)送指令。

（3）攻擊原理（Principle）

DoS攻擊原理主要分為兩種，分別是：語(yǔ)義攻擊（Semantic）和暴力攻擊（Brute）。

語(yǔ)義攻擊指的是利用目標系統實(shí)現時(shí)的缺陷和漏洞，對目標主機進(jìn)行的拒絕服務(wù)攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時(shí)只需要發(fā)送1個(gè)數據包就可以達到攻擊目的，對這種攻擊的防范只需要修補系統中存在的缺陷即可。暴力攻擊指的是不需要目標系統存在漏洞或缺陷，而是僅僅靠發(fā)送超過(guò)目標系統服務(wù)能力的服務(wù)請求數量來(lái)達到攻擊的目的，也就是通常所說(shuō)的風(fēng)暴攻擊。所以防御這類(lèi)攻擊必須借助于受害者上游路由器等的幫助，對攻擊數據進(jìn)行過(guò)濾或分流。某些攻擊方式，兼具語(yǔ)義和暴力兩種攻擊的特征，比如SYN風(fēng)暴攻擊，雖然利用了TCP協(xié)議本身的缺陷，但仍然需要攻擊者發(fā)送大量的攻擊請求，用戶(hù)要防御這種攻擊，不僅需要對系統本身進(jìn)行增強，而且也需要增大資源的服務(wù)能力。還有一些攻擊方式，是利用系統設計缺陷，產(chǎn)生比攻擊者帶寬更高的通信數據來(lái)進(jìn)行暴力攻擊的。

（4）攻擊協(xié)議層（ProLayer）

攻擊所在的TCP/IP協(xié)議層可以分為以下四類(lèi)：數據鏈路層、網(wǎng)絡(luò )層、傳輸層和應用層。

數據鏈路層的拒絕服務(wù)攻擊[Convery] [Fischbach01][Fischbach02]受協(xié)議本身限制，只能發(fā)生在局域網(wǎng)內部，這種類(lèi)型的攻擊比較少見(jiàn)。針對IP層的攻擊主要是針對目標系統處理IP包時(shí)所出現的漏洞進(jìn)行的，如IP碎片攻擊[Anderson01]，針對傳輸層的攻擊在實(shí)際中出現較多，SYN風(fēng)暴、ACK風(fēng)暴等都是這類(lèi)攻擊，面向應用層的攻擊也較多，劇毒包攻擊中很多利用應用程序漏洞的（例如緩沖區溢出的攻擊）都屬于此類(lèi)型。 （5）攻擊協(xié)議（ProName）

攻擊所涉及的最高層的具體協(xié)議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協(xié)議層越高，則受害者對攻擊包進(jìn)行分析所需消耗的計算資源就越大。

2．攻擊動(dòng)態(tài)屬性（Dynamic）

攻擊動(dòng)態(tài)屬性主要包括攻擊源地址類(lèi)型、攻擊包數據生成模式和攻擊目標類(lèi)型。

（1）攻擊源地址類(lèi)型（SourceIP）

攻擊者在攻擊包中使用的源地址類(lèi)型可以分為三種：真實(shí)地址（True）、偽造合法地址（Forge Legal）和偽造非法地址（Forge Illegal）。

攻擊時(shí)攻擊者可以使用合法的IP地址，也可以使用偽造的IP地址。偽造的IP地址可以使攻擊者更容易逃避追蹤，同時(shí)增大受害者對攻擊包進(jìn)行鑒別、過(guò)濾的難度，但某些類(lèi)型的攻擊必須使用真實(shí)的IP地址，例如連接耗盡攻擊。使用真實(shí)IP地址的攻擊方式由于易被追蹤和防御等原因，近些年來(lái)使用比例逐漸下降。使用偽造IP地址的攻擊又分為兩種情況：一種是使用網(wǎng)絡(luò )中已存在的IP地址，這種偽造方式也是反射攻擊所必需的源地址類(lèi)型；另外一種是使用網(wǎng)絡(luò )中尚未分配或者是保留的IP地址（例如192.168.0.0/16、172.16.0.0/12等內部網(wǎng)絡(luò )保留地址[RFC1918]）。

（2）攻擊包數據生成模式（DataMode）

攻擊包中包含的數據信息模式主要有5種：不需要生成數據（None）、統一生成模式（Unique）、隨機生成模式（Random）、字典模式（Dictionary）和生成函數模式（Function）。

在攻擊者實(shí)施風(fēng)暴式拒絕服務(wù)攻擊時(shí)，攻擊者需要發(fā)送大量的數據包到目標主機，這些數據包所包含的數據信息載荷可以有多種生成模式，不同的生成模式對受害者在攻擊包的檢測和過(guò)濾能力方面有很大的影響。某些攻擊包不需要包含載荷或者只需包含適當的固定的載荷，例如SYN風(fēng)暴攻擊和ACK風(fēng)暴攻擊，這兩種攻擊發(fā)送的數據包中的載荷都是空的，所以這種攻擊是無(wú)法通過(guò)載荷進(jìn)行分析的。但是對于另外一些類(lèi)型的攻擊包，就需要攜帶相應的載荷。

（3）攻擊目標類(lèi)型（Target）

攻擊目標類(lèi)型可以分為以下6類(lèi)：應用程序（Application）、系統（System）、網(wǎng)絡(luò )關(guān)鍵資源（Critical）、網(wǎng)絡(luò )（Network）、網(wǎng)絡(luò )基礎設施（Infrastructure）和因特網(wǎng)（Internet）。

針對特定應用程序的攻擊是較為常見(jiàn)的攻擊方式，其中以劇毒包攻擊較多，它包括針對特定程序的，利用應用程序漏洞進(jìn)行的拒絕服務(wù)攻擊，以及針對一類(lèi)應用的，使用連接耗盡方式進(jìn)行的拒絕服務(wù)攻擊。針對系統的攻擊也很常見(jiàn)，像SYN風(fēng)暴、UDP風(fēng)暴[CA-1996-01]以及可以導致系統崩潰、重啟的劇毒包攻擊都可以導致整個(gè)系統難以提供服務(wù)。針對網(wǎng)絡(luò )關(guān)鍵資源的攻擊包括對特定DNS、路由器的攻擊。而面向網(wǎng)絡(luò )的攻擊指的是將整個(gè)局域網(wǎng)的所有主機作為目標進(jìn)行的攻擊。針對網(wǎng)絡(luò )基礎設施的攻擊需要攻擊者擁有相當的資源和技術(shù)，攻擊目標是根域名服務(wù)器、主干網(wǎng)核心路由器、大型證書(shū)服務(wù)器等網(wǎng)絡(luò )基礎設施，這種攻擊發(fā)生次數雖然不多，但一旦攻擊成功，造成的損失是難以估量的[Naraine02]。針對Internet的攻擊是指通過(guò)蠕蟲(chóng)、病毒發(fā)起的，在整個(gè)Internet上蔓延并導致大量主機、網(wǎng)絡(luò )拒絕服務(wù)的攻擊，這種攻擊的損失尤為嚴重。

3．交互屬性（Mutual）

攻擊的動(dòng)態(tài)屬性不僅與攻擊者的攻擊方式、能力有關(guān)，也與受害者的能力有關(guān)。主要包括攻擊的可檢測程度和攻擊影響。

（1）可檢測程度（Detective）

根據能否對攻擊數據包進(jìn)行檢測和過(guò)濾，受害者對攻擊數據的檢測能力從低到高分為以下三個(gè)等級：可過(guò)濾（Filterable）、有特征但無(wú)法過(guò)濾（Unfilterable）和無(wú)法識別（Noncharacterizable）。

（2）攻擊影響（Impact）

根據攻擊對目標造成的破壞程度，攻擊影響自低向高可以分為：無(wú)效（None）、服務(wù)降低（Degrade）、可自恢復的服務(wù)破壞（Self-recoverable）、可人工恢復的服務(wù)破壞（Manu-recoverable）以及不可恢復的服務(wù)破壞（Non-recoverable）。

如果目標系統在拒絕服務(wù)攻擊發(fā)生時(shí)，仍然可以提供正常服務(wù)，則該攻擊是無(wú)效的攻擊。如果攻擊能力不足以導致目標完全拒絕服務(wù)，但造成了目標的服務(wù)能力降低，這種效果稱(chēng)之為服務(wù)降低。而當攻擊能力達到一定程度時(shí)，攻擊就可以使目標完全喪失服務(wù)能力，稱(chēng)之為服務(wù)破壞。服務(wù)破壞又可以分為可恢復的服務(wù)破壞和不可恢復的服務(wù)破壞，目前網(wǎng)絡(luò )拒絕服務(wù)攻擊所造成的服務(wù)破壞通常都是可恢復的。一般來(lái)說(shuō)，風(fēng)暴型的DDoS攻擊所導致的服務(wù)破壞都是可以自恢復的，當攻擊數據流消失時(shí)，目標就可以恢復正常工作狀態(tài)。而某些利用系統漏洞的攻擊可以導致目標主機崩潰、重啟，這時(shí)就需要對系統進(jìn)行人工恢復；還有一些攻擊利用目標系統的漏洞對目標的文件系統進(jìn)行破壞，導致系統的關(guān)鍵數據丟失，往往會(huì )導致不可恢復的服務(wù)破壞，即使系統重新提供服務(wù)，仍然無(wú)法恢復到破壞之前的服務(wù)狀態(tài)。

與其他類(lèi)型的攻擊一樣，攻擊者發(fā)起拒絕服務(wù)攻擊的動(dòng)機也是多種多樣的，不同的時(shí)間和場(chǎng)合發(fā)生的、由不同的攻擊者發(fā)起的、針對不同的受害者的攻擊可能有著(zhù)不同的目的。這里，把拒絕服務(wù)攻擊的一些主要目的進(jìn)行歸納。需要說(shuō)明的是，這里列出的沒(méi)有也不可能包含所有的攻擊目的；同時(shí)，這些目的也不是排他性的，一次攻擊事件可能會(huì )有著(zhù)多重的目的。

1．作為練習攻擊的手段

由于DoS攻擊非常簡(jiǎn)單，還可以從網(wǎng)上直接下載工具進(jìn)行自動(dòng)攻擊。因此，這種攻擊可以被一些自認為是或者想要成為黑客而實(shí)際上是腳本小子（Script Kiddies）的人用做練習攻擊技術(shù)的手段。而其他的一些特權提升攻擊（除通過(guò)蠕蟲(chóng)等進(jìn)行自動(dòng)攻擊外），通常都會(huì )或多或少地牽涉到一些技術(shù)性的東西，從而掌握起來(lái)會(huì )有一定的難度。

2．炫耀黑客們常常以能攻破某系統作為向同伴炫耀，提高在黑客社會(huì )中的可信度及知名度的資本，拒絕服務(wù)攻擊雖然技術(shù)要求不是很高，有時(shí)也被一些人特別是一些“所謂的”黑客①用來(lái)炫耀。

3．仇恨或報復。仇恨或報復也常常是攻擊的動(dòng)機。尋求報復通常都基于強烈的感情，攻擊者可能竭盡所能地發(fā)起攻擊，因而一般具有較大的破壞性。同時(shí)，拒絕服務(wù)攻擊當是報復者的首選攻擊方式，因為他們的目的主要是破壞而非對系統的控制或竊取信息。

4．惡作劇或單純?yōu)榱似茐?/p>

有些系統的使用需要賬戶(hù)（用戶(hù)名）和口令進(jìn)行身份認證，而當以某個(gè)用戶(hù)名登錄時(shí)，如果口令連續錯誤的次數超過(guò)一定值，系統會(huì )鎖定該賬戶(hù)，攻擊者可以采用此方法實(shí)施對賬戶(hù)的拒絕服務(wù)攻擊。此外，我們在現實(shí)生活中常常見(jiàn)到一些公共設施如通信電纜被惡意毀壞；在網(wǎng)絡(luò )社會(huì )中，類(lèi)似的情況也時(shí)有發(fā)生，這些攻擊常常是為了惡作劇。

5．經(jīng)濟原因

有的攻擊者攻擊系統是為了某種經(jīng)濟利益，無(wú)論是直接的還是間接的。比如A、B是兩家相互競爭的依賴(lài)Internet做生意的公司，如果其中一個(gè)公司的服務(wù)質(zhì)量降低或者顧客不能訪(fǎng)問(wèn)該公司的網(wǎng)絡(luò )，顧客可能會(huì )轉向另一家公司，則A就可能對B公司提供的網(wǎng)上服務(wù)實(shí)施拒絕服務(wù)攻擊，在這里，攻擊者A可以通過(guò)對B的攻擊而獲取經(jīng)濟利益。攻擊者也可以受雇而發(fā)起攻擊，敲詐、勒索也逐漸成為了一些攻擊者進(jìn)行拒絕服務(wù)攻擊的目的。由于拒絕服務(wù)攻擊會(huì )導致較大的損失，一些攻擊者以此作為敲詐勒索的手段。例如，2004年歐洲杯足球賽期間發(fā)生的一起針對一個(gè)賭博公司的敲詐案[BBC04]，攻擊者威脅說(shuō)如果該公司不付錢(qián)就會(huì )攻擊其網(wǎng)站，使之下線(xiàn)。在其他的重要體育賽事期間，也發(fā)生過(guò)多起類(lèi)似的犯罪行為。

隨著(zhù)越來(lái)越多的受害者選擇向敲詐者妥協(xié)[Reuters04]，以拒絕服務(wù)攻擊進(jìn)行敲詐勒索的案例越來(lái)越多[computerworld05]。同時(shí)，由于拒絕服務(wù)攻擊常常涉及超出國界的Internet連接，對拒絕服務(wù)攻擊這種犯罪行為的起訴也比較困難，這進(jìn)一步加劇了問(wèn)題的嚴重性。

6．政治原因

這類(lèi)攻擊的目的是對某種政治思想的表達或者壓制他人的表達。如2001年5月間，由美國間諜飛機撞毀我巡邏機引發(fā)的，中美黑客之間的一場(chǎng)網(wǎng)絡(luò )大戰①，以及2003年伊拉克戰爭期間美國與伊拉克黑客之間的發(fā)生的相互攻擊對方國內網(wǎng)絡(luò )的事件就屬政治原因引起的（當然，拒絕服務(wù)攻擊只是當時(shí)雙方采取的攻擊手段之一）。又比如，某銀行貸款給一家公司用于在某處建一對環(huán)境污染嚴重的化工廠(chǎng)，環(huán)境保護主義者可能會(huì )攻擊該銀行，后果或者是導致該銀行的損失，達到報復該銀行的目的，或者是迫使該銀行取消該項貸款，達到保護環(huán)境的目的。

7．信息戰

在戰爭條件下，交戰雙方如果采取信息戰的方式，則拒絕服務(wù)攻擊就是最常用的戰術(shù)手段之一。例如，1991年，在海灣戰爭開(kāi)戰前數周，美國特工買(mǎi)通了安曼國際機場(chǎng)的工作人員，用帶有病毒的芯片替換了運往伊拉克的打印機芯片[Military] [RD13]。該病毒由美國國家安全局設計，目的就是為了破壞巴格達的防空系統，從而為美方的空中打擊創(chuàng )造有利條件。據一本名為《不戰而勝：波斯灣戰爭中未揭露的歷史》（Triumph without Victory: The Unreported History of the Persian Gulf War）的圖書(shū)稱(chēng)，該病毒可以逃避層層安全檢測，當病毒存在于計算機上時(shí)，每次伊拉克的技術(shù)人員開(kāi)一個(gè)窗口訪(fǎng)問(wèn)信息的時(shí)候，其計算機屏幕上的信息就會(huì )消失。有報道稱(chēng)該病毒最后確實(shí)起作用了[phrack37]。這里，美方通過(guò)激發(fā)病毒使得伊拉克防空系統使用的打印機不能正常工作，就是一種拒絕服務(wù)攻擊。

8．作為特權提升攻擊的輔助手段

前面討論的目的都是由拒絕服務(wù)攻擊直接達到的，事實(shí)上，拒絕服務(wù)攻擊還可以作為特權提升攻擊、獲得非法訪(fǎng)問(wèn)的一種輔助手段。這時(shí)候，拒絕服務(wù)攻擊服從于其他攻擊的目的。通常，攻擊者不能單純通過(guò)拒絕服務(wù)攻擊獲得對某些系統、信息的非法訪(fǎng)問(wèn)，但其可作為間接手段。

許多現代的UNIX允許管理員設置一些限制，如限制可以使用的最大內存、CPU時(shí)間以及可以生成的最大文件等。如果當前正在開(kāi)發(fā)―個(gè)新的程序，而又不想偶然地使系統變得非常緩慢，或者使其它分享這臺主機的用戶(hù)無(wú)法使用，這些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出當前程的資源限制。