首先，我们需要了解什么是DoS。DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击。其目的是使计算机或网络无法提供正常服务。

接下来我们就来了解一下DoS攻击手段

1、死亡之Ping（Ping of Death）

ICMP协议是一个网络层协议，与IP协议处于同一层，其底层用的IP协议。ICMP协议的主要作用是确认IP包是否成功达到目标IP，通知在发送过程中的IP包被丢弃的原因。基于ICMP协议的ping命令用于验证网络的连通性。许多操作系统的TCP/IP协议栈都规定ICMP的包大小不超过64KB，"Ping of Death"就是故意产生畸形的测试Ping（Packet Internet Groper）包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方宕机。

防御方法：禁止ICMP报文通过网络安全设备。

2、泪滴（Teardrop）

泪滴攻击利用在TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP协议栈（例如NT在servicepack4以前）在收到含有重叠偏移的伪造分段时将崩溃。

防御方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。

3、Land攻击

Local Area Network Denial attack，局域网拒绝服务攻击。攻击者构造了一个TCP SYN数据包，包中的源地址和目的地址都为被攻击主机的地址。被攻击的主机收到之后，就会给自己地址发一个SYN+ACK，接着又会给自己地址发一个ACK，创建了一个空连接并一直等待，直到这个连接超时。如果攻击者发送了大量的这种数据包，就会把被攻击主机的连接占满。

防御方法：在防火墙或路由器配置规则，如果是源地址和目的地址相同，则丢弃掉。

4、IP欺骗攻击

这种攻击利用RST位来实现。攻击者构造攻击的TCP数据包，伪装自己是已经建立连接的合法用户的IP，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为之前建立的连接有误，就会清空缓冲区中建立好的连接。这时，如果合法用户再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。

防御方法：这种攻击的最接近真实的使用场景，所以鉴别起来也是比较麻烦的，比如提高认证的门槛，不仅仅是只通过IP认证，增加取证信息，以确保客户的真实性。