前言
阻斷服務攻擊（denial-of-service attack，簡稱DoS攻擊）是一種網路攻擊手段，旨在耗盡目標電腦的網路或系統資源，從而使服務暫時中斷或停止，導致正常使用者無法訪問。

分散式阻斷服務攻擊(Distributed Denial-of-Service，簡稱DDoS攻擊)是一種惡意的網路攻擊手段，其目的是耗盡目標電腦的網路或系統資源，導致服務暫時中斷或停止，從而使網站無法正常訪問、使用或運行。此類攻擊常見於同業競爭、資料竊取或勒索事件，特別是金融保險和貿易銷售等行業成為主要攻擊目標。

這兩者是常見的網路攻擊的模式。

阻斷服務攻擊
DoS最常在現在某些網路遊戲中，通常被不滿的玩家或競爭對手頻繁使用。此外，DoS攻擊還常被作為抗議手段，自由軟體基金會創辦人理察·斯托曼曾稱其為「網路街頭抗議」的一種形式。

美國國土安全部旗下的美國電腦緊急應變小組（US-CERT）阻斷服務攻擊症狀的定義包括：

1. 網路異常緩慢（打開檔案或造訪網站）
2. 特定網站無法訪問
3. 無法訪問任何網站
4. 垃圾郵件的數量急劇增加

阻斷服務攻擊不僅會影響目標電腦，還可能波及同一網路中的其他設備。這類攻擊會大量消耗網際網路和區域網路之間的頻寬，導致區域網路中的其他電腦也受到影響。如果攻擊規模足夠大，甚至可能影響整個地區的網路連接。

攻擊方式
DoS攻擊可分為三種主要形式：頻寬消耗型、資源消耗型和漏洞觸發型。前兩種形式通過大量合法或偽造的請求，占用網路和設備資源，進而癱瘓網路和系統。而漏洞觸發型攻擊則利用系統漏洞，導致系統崩潰並癱瘓服務。

頻寬消耗型
DDoS頻寬消耗攻擊可分為兩種層次：洪泛攻擊和放大攻擊。洪泛攻擊的特點是利用殭屍程式向受害者系統傳送大量流量，意圖堵塞其頻寬。放大攻擊則是通過惡意增加流量來限制受害者系統的頻寬。具體而言，攻擊者利用殭屍程式，通過偽造的源IP（即攻擊目標IP）向存在漏洞的伺服器發送請求，伺服器在處理這些請求後將應答發送至偽造的源IP。由於這些服務的特殊性，應答包的大小遠超請求包，因此僅需少量頻寬就能使伺服器向目標主機傳送大量應答，從而達到攻擊目的。

資源消耗型
資訊消耗型有很多攻擊方式，例如說：LAND攻擊、協定分析攻擊、CC攻擊、殭屍網路攻擊、應用程式級洪水攻擊。

以LAND攻擊當例子：
這種攻擊方式與SYN floods相似，但在LAND攻擊中，數據包的源地址和目標地址都是攻擊對象的IP。這會導致被攻擊的機器進入無限迴圈，最終耗盡資源並導致系統當機。

SYN floods是傳送控制協定（TCP）同步（SYN）攻擊是一種網路攻擊手段。TCP通信通常需要在封包傳送之前，傳送方與接收方之間進行完整的訊號交換。首先，啟動系統會發送一個SYN請求，接收系統則會返回一個帶有自身SYN請求的ACK（確認）訊息作為回應。隨後，傳送方再回傳一個ACK來建立兩個系統之間的通信。如果接收系統發送了SYN封包但未接收到ACK，它會在一段時間後重新發送SYN封包。在這段時間內，接收系統的處理器和主記憶體資源會儲存該TCP SYN請求，直到逾時為止。

DDoS TCP SYN攻擊，也被稱為「資源耗盡攻擊」，正是利用了TCP的這一特性。攻擊者通過殭屍程式發送偽造的TCP SYN請求給受害伺服器，導致伺服器的處理器資源被大量消耗，無法有效處理合法請求。這種攻擊專門利用了傳送方與接收方之間的三向訊號交換，向受害系統發送大量偽造原IP位址的TCP SYN封包。最終，這些重複的TCP SYN攻擊請求會耗盡受害系統的主記憶體和處理器資源，導致系統無法處理任何合法使用者的請求。

漏洞觸發型
這種攻擊手法試圖觸發緩衝區溢位等漏洞，導致作業系統出現核心錯誤或藍白畫面當機，從而實現阻斷服務攻擊的目的。
常見的有

1. 死亡之Ping（ping of death）
2. 淚滴攻擊

防禦方式
阻斷服務攻擊的防禦方式通常為入侵檢測(類似Detection)，流量過濾和多重驗證，旨在堵塞網路頻寬的流量將被過濾，而正常的流量可正常通過。

方式有：

1. 防火牆
2. 交換機
3. 路由器
4. 黑洞引導
5. 流量清洗

資料來源

1. DoS wiki : https://zh.wikipedia.org/zh-tw/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A
2. ChatGPT : https://chatgpt.com/g/g-5Sa97n3el-zhong-wen-gpt/c/665d9283-ecab-421e-8951-2a624fe5fb97