应用程序级攻击

　　网络已证明易受攻击。然而网络只是全球系统中的传输部分，是中断通信的良好手段。不过，应用程序通常是实际的攻击目标，而且这些应用程序也受到无数的拒绝服务问题的袭扰。

　　基于会话的攻击

　　大多数应用程序连接是通过会话(通常经过TCP机制的标识) 来处理。同步会话的数量是影响给定应用程序性能的重要因素，因此必须限制会话的数量。如果该限制只是基于网络和传输信息（IP+TCP），那么生成拒绝服务是很容易的。一次简单的攻击便可打开 TCP 会话并让这些会话保持打开状态，从而可以迅速填满所有可用的会话槽，阻止建立任何新的会话。这种“待决”会话攻击是与 SYN 洪水等价的 7 层攻击。但是如果在第 4 层上需要有数千兆数据流量，则需要在几秒内发送数千个信息包来阻止建立任何新的会话，。

　　例如，很容易在web服务器上实施这种攻击。

　　完整和合法的会话也可以破坏应用程序，简单的F5攻击只需保持F5 键处于按下状态就可以强制完全刷新在 Internet Explorer 上加载的 web 页面。使用这种古老而简易的攻击，便会仅仅因为需要服务的 web 页面数过多而导致资源枯竭。这种会话洪水攻击还可以破坏通信信道的其他关键路径。

　　− 电信链接：从服务器传送到客户机的数据量可以填满与因特网的链接。这种情况下，通过该链接无法进行任何通信；针对性的拒绝服务攻击漫延至全球；

　　− 服务器应用程序：大量同步连接可以达到服务器处理同步会话能力的上限，这种攻击类似于“待决的”会话攻击。如果未设置上限，则处理大量会话时可能消耗绝大多数的系统资源。

　　− 第三方应用程序：大多数应用程序都链接到中间软件和数据库。在任一情况下，由于这些第三方应用程序在处理原始应用程序发出的巨量请求时可能遇到内部问题，因此就可能出现瓶颈。这些结果也可能是内部缺陷造成的（如下所述）。

　　继F5攻击技术之后，会话洪水技术便再无发展。不过，人们已发现且广泛使用平衡因子而使得这种攻击仍然是拒绝服务中一种最恶性的可能情形。

概念和逻辑缺陷

　　开发的应用程序是为了在正常情况下提供特定的服务，而攻击的目的就是令应用程序的行为方式出现异常。这种攻击的某些机制是通用的，但是这种攻击的大多数机制是专用于各个不同应用程序的概念和逻辑，因此想要罗列出全部有缺陷的应用程序和消灭这些缺陷的方法是不可能的。

　　内部

　　内存处理显然是可以导致拒绝服务攻击的第一内部机制。简单的“缓冲溢出”使得重写堆栈成为可能，从而让应用程序乃至整个系统都不稳定。在不同级别的应用程序通道中缺少输入检查，也使得攻击会沿着第三方应用程序传播而增加攻击的可能性。

　　然而，内部缺陷更加难以琢磨，更加难以修补。依赖于NFA引擎的规则表达式可能极具危险性。NFA引擎分析表达式的所有可能路径。如有一个字符令搜索失效，该引擎便会返回前一个匹配点并重试表达式的所有组合。若针对精心制作的输入而启动像通配符 * 之类极耗资源的运算符和像 (int|integer) 之类 OR 条件的组合，则会产生致命的影响。

　　SQL也是逻辑攻击的一种明显传播媒介，因为在大型而复杂的表格上，SQL查询可能在应用程序级生成不同的错误行为。首先遇到的缺陷就是缺少索引和数据库结构中通常使用的字符串列。如果没有正确的索引，涉及对同一个表的多个列进行筛选和排序操作的SQL 请求便会产生指数级数量的操作，这会消耗巨量的 CPU 资源并显著增加应用程序响应时间。如果搜索和排序的字段是字符串，则这些操作消耗的资源甚至会更多。

　　第二种缺陷与内存有关。在超大型表中，类似于“SELECT*”的请求可能产生数百万个结果。临时数据库结构和用于存储结果的应用程序结构消耗大量内存，结果可能会导致各种后果：数据交换过量、响应时间延长或整个系统拒绝服务。

　　另一种重要的拒绝服务攻击可以针对用于组织和搜索内存中数据的哈希函数来实施。哈希表入口是指向对象链接表的指示符。搜索操作需要两个步骤。首先，计算哈希函数以在哈希表中查找匹配的入口。然后，逐个比较列表中的对象。冲突是这种机制的第一个缺陷。如果哈希表不够大和／或哈希算法使得容易产生冲突，便可能会产生多个入口而与哈希表中相同的入口匹配。按这种方式对表格进行的任何搜索操作都将需要执行很多运算，而且消耗CPU资源，其本身很可能导致拒绝服务，或者会加强针对依赖于这种机制的某个应用程序的攻击效果。

　　运行模式

　　每个应用程序都有特定的功能和运行方式。因此要描述出所有的缺陷是不可能的。然而，某些典型和有效的示例可以对常见的无掩蔽性操作提供线索。

　　DHCP服务器容易遭受的攻击尽管很微小但却能快速耗尽其可用IP地址的池。前面已经分析过协议本身的缺陷（请参阅第 3 层连接攻击）。除此之外，在 DHCP 交换的第一阶段中，DHCP 服务器在没有得到来自客户机的任何确认情况下会锁定 IP 地址。令 DHCP 服务器用尽可用的 IP 地址便只是使用 chaddr 数据字段中指定的不同 MAC 地址来发送多个 DHCPDISCOVER 请求的问题。甚至不需要伪造 MAC。广播、缺少认证和“早期处理”组合起来构成拒绝服务攻击的关键因素。

　　另一种“先进”的攻击是基于设计不良的运行方式，这就是DNS服务器的洪水攻击。当DNS 服务器接收到对不在其缓存中的名称之解析请求，或当请求指定应答必须具有权威性时，服务器将请求发送到 TLD（顶级域名）服务器，以便获得域的 SOA（颁发机构起始）地址。一旦获得该地址，目标 DNS 服务器便向 SOA 服务器发出另一个请求以便解析该请求的名称。获得应答后，便立即将这些应答发送回给客户机。由于不需要由客户机进行认证，且客户机与服务器之间的通信是基于 UDP 协议，所以很轻易就可以将数千个请求从伪造的来源发送到服务器。可以对不同级别的攻击效率作如下区分。

　　− 针对不存在的域上主机之请求：这种情况下，TLD 将一个错误发送到目标 DNS 服务器，该服务器再将该错误转发到客户机。这种影响相对较低，而且需要攻击者提供大量请求。然而，很轻易就可以创建一个工具来生成这种攻击，因为任何字段（主机、域）可以是随机的，且不必是真实字段。

　　− 针对极少数现有域上主机之请求：这种情况下，目标服务器就每个域向 TLD 发送一个请求以获取 SOA。然后，把来自攻击者的每个请求转发到 SOA。不存在的主机会生成错误。另一方面，与现有主机有关的请求从 SOA 生成应答，这些应答是转发到源的较大信息包。这种情况下，较高的数据流量和更重要的处理可以提高攻击的效率。因为查找几个现有的域比较简单，所以这种攻击仍然相对容易实施。然而，攻击的效率主要取决于这些域的 SOA 对目标服务器发送给它们的大量请求进行处理的能力和这些域上众多主机名的可用性。

　　− 针对多个现有域上主机之请求。在这最后一种情况下，几乎所有发送到目标服务器的请求都会令目标服务器产生到 TLD 的请求，随后便是到 SOA 的请求和对应答的处理。这种攻击很难实施，因为它需要定义包含数千个现有域和主机的列表。然而，它特别有效，只在每秒内进行几千次请求就能使得大多数 DNS 服务器崩溃。

　　这种DNS的情况之出现大都是因为使用无态协议，使得攻击者可在不受影响的情况下在服务器端产生较高的数据流量和处理负荷。

　　对上下文和会话的处理是应用程序中另一常见的重要缺陷。在SMTP服务器对HELO 命令参数的有效性实施特定检查的情况下，由于不能对结果进行即时处理而会增强这一缺陷的影响。根据标准，只有出现 RCPT TO 命令时才可以拒收邮件。因此，建立一个会话并发出数千个 HELO 请求将会让目标服务器重复处理参数，这些参数通常位于规则的表达式上。最糟糕的情况是在执行名称解析时，因为这会添加更多的处理和数据流量。因为单条 HELO 命令约有 100 个字节，所以有可能从通过宽带接入而连接到因特网的标准 PC 对邮件服务器发动十分有效的攻击。如果一检测到异常便中断会话，则这种攻击不可能实现。

　　改善效率

　　大多数拒绝服务攻击实施起来非常简单。然而某些情况下，标准PC和宽带接入并不足以发动有效的攻击。尤其当在目标基础结构上实施群集和负载平衡之类机制时更是如此。在此情况下将会把一个单一的目标IP 地址物理链接到许多服务器，从而产生大规模攻击需求。

　　有两种方式能使得攻击在这种情况下有效。第一种方式是找到一些提高攻击媒介能力（信息包、会话的数量或带宽等）的平衡因子。第二种方式取决于影响通信路径上设备或资源的某些副作用。

　　小型信息包

　　最常见的副作用是需由内联网络或安全设备来处理的巨量小型信息包的影响。根据在这些设备上实施的功能，将信息包从一个接口转发到另一个接口可能需要若干操作。简单的路由器必须根据其路由表做出决策。在信息包筛选操作中，必须检查第4层标头来验证筛选器。有态检验因需要检查会话表而增加了复杂性。像逆向代理等最后一个应用程序层设备必须在第7 层处理信息包。像信息包销毁或 NAT 等某些其他操作甚至需要更多的处理，因为必须重写信息包并重新计算若干校验和。

　　小型信息包产生的影响很容易用数字来说明。一般来说，指定用于处理特定带宽的设备在处理64字节的信息包时几乎不能提供大于10％ 声明性能的吞吐量。任何依赖于小于 100 字节信息包的攻击可能首先会令路由器和防火墙崩溃，而不仅仅是影响目标服务器。