网络攻防原理与技术 第3版 教案 第5讲 拒绝服务攻击

《网络攻防原理与技术》课程教案讲课题目第五讲拒绝服务攻击目的要求了解拒绝服务攻击的基本概念；掌握掌握剧毒包型拒绝服务攻击的攻击原理；掌握风暴型拒绝服务攻击的攻击原理；了解拒绝服务攻击的检测及响应技术重点难点剧毒包型拒绝服务攻击的攻击原理；风暴型拒绝服务攻击的攻击原理方法步骤理论讲授器材保障电脑、投影仪主要教学内容一拒绝服务攻击概述

（一）拒绝服务攻击的相关概念拒绝服务攻击（）是一种应用广泛、行之有Denial ofService,DoS可以结合效但难以防范的网络攻击手段，主要依靠消耗网络带宽或系统资源（如，俄乌冲突处理机、磁盘、内存）导致网络或系统不胜负荷以至于瘫痪而停止提中的拒绝服务攻击供正常的网络服务或使服务质量显著降低，或通过更改系统配置使系案例进行统无法正常工作（如更改路由器的路由表），来达到攻击的目的分析，增强（）如果处于不同位置的多个攻DDoS DistributedDenial ofService学生的学击者同时向一个或多个目标发起拒绝服务攻击，或者一个或多个攻击习兴趣者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施拒绝服务攻击广义上讲，属于攻击，且是主流的攻击模式DDoS DoS DoS狭义上讲，指的是单一攻击者针对单一受害者的攻击（传统DoS攻击可以用于劫持、欺骗等当攻击者想要冒充SYN FloodIP IP跟通信时，通常要求不能响应的消息，为此，攻击者可以先C BC B分析讨论攻击（如果它是在线的）使其无法对的消息进行响应然后攻击C B可以利用拒绝服务者就可以通过窃听发向的数据包，或者猜测发向的数据包中的序C C攻击达成列号等，然后冒充与第三方通信C哪些攻击目的？一些系统在启动时会有漏洞，可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击如如果能令其重启，RARP-boot,就可以将其攻破只需知道在引导时监听的端口号（通常RARP-boot为）通过向其发送伪造的数据包几乎可以完全控制其引导过程69,有些网络中，当防火墙关闭时允许所有数据包都能通过（特别是对于那些提供服务比保障安全更加重要的场合，如普通的）则可通ISP,过对防火墙进行拒绝服务攻击使其失去作用达到非法访问受保护网络的目的在系统中，大多数配置变动在生效前都需要重新启动系Windows统这么一来，如果攻击者已经修改了系统的管理权限，可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统，以便使改动的配置生效对的拒绝服务攻击可以达到地址冒充的目的攻击者可以通DNS过把致瘫，然后冒充的域名解析，把错误的域名地址的DNS DNS-IP映射关系提供给用户攻击者的最终目的大致有两种一是窃取受害者的信息，但客观上导致用户不能应用相应的服务，也构成拒绝服务攻击；二是拒绝服务攻击，如蓄意使用户不能访问需要访问的网站，不能发送邮件到特定邮件服务器等五拒绝服务攻击的检测及响应

（一）攻击检测技术攻击工具的特征标志检测l.DoS这种方法主要针对攻击者利用已知特征的攻击工具发起的攻DoS击攻击特征主要包括）特定端口例如，使用的端口，攻击使1NTP DDoS123SSDP用的端口1900）标志位例如，攻击所用的分组的序列号都是2Shaft TCP0x28374839o）特定数据内容3根据异常流量来检测

2.大部分不易检测的、攻击工具和方法，都有一个共同DoS DDoS的特征当这类攻击出现时，网络中会出现大量的某一类型的数据包注意拒绝可以根据这一特征来检测是否发生了攻击DoS服务攻击工具产生的网络通信信息有两种控制信息（在管理者DoS DoS与正常网与攻击代理之间）和攻击时的网络通信（在攻击代理与目标主机络通信的DoS差异之间）根据以下异常现象在入侵检测系统中建立相应规则，能够较准确地监测出攻击DoS）大量目标主机域名解析根据分析，攻击者在进行攻击1DDoS前总要解析目标的主机名域名服务器能够记录这些请求由BIND于每台攻击服务器在进行攻击前会发出反向查询请求，也就是说PTR在攻击前域名服务器会接收到大量的反向解析目标主机名的DDoS IP查询请求虽然这不是真正的通信，但却能够用来确定PTR“DDoS”攻击的来源DDoS）极限通信流量当攻击一个站点时，会出现明显超出该2DDoS网络正常工作时的极限通信流量的现象现在的技术能够对不同的源地址计算出对应的极限值当明显超出此极限值时就表明存在DDoS攻击的通信）特大型的和数据包正常的会话一般都使用3ICMP UDPUDP小的包那些明显大得多的数据包很有可能就是攻击UDP DDoS控制信息，主要含有加密后的目标地址和一些命令选项一旦捕获到（没有经过伪造的）控制信息，服务器的位置就暴露出来了，因DDoS为控制信息数据包的目标地址是没有伪造的）不属于正常连接通信的和数据包攻击常常4TCP UDPDDoS使用大量非正常的三次握手包进行攻击，大量伪造源地址的TCP UDP数据包等）数据段内容只包含文字和数字字符（例如，没有空格、标点和5控制字符）的数据包这往往是数据经过编码后的特征BASE64

（二）响应技术面对拒绝服务攻击，从原理上讲，主要有四种应对攻击的方法第一种是通过丢DoS应该如何弃恶意分组的方法保护受攻击的网络或系统；第二种是在源端控制有效进行攻击；第三种是追溯（）发起攻击的源端，然后阻止它发DoS traceback响应？起新的攻击；第四种是路由器动态检测流量并进行控制分组过滤

1.为了避免被攻击，可以对特定的流量进行过滤，例如，用防火墙过滤掉所有来自某些主机的报文还有一种“输入诊断”方案，由受害者提供攻击特征，沿途的互联网服务提供商（Internet ServiceProvider,）配合将攻击分组过滤掉，但是这种方案需要各个的网络管理员ISP ISP人工配合，工作强度高、时间耗费大，因此较难实施源端控制

2.通常参与攻击的分组使用的源地址都是假冒的，因此如果DoS IP能够防止地址假冒就能够防止此类攻击通过某种形式的源IP DoS端过滤可以减少或消除假冒地址的现象，防范攻击IP DoS现在越来越多的路由器支持源端过滤但是，源端过滤并不能彻底消除地址假冒例如，一个的客户计算机仍然能够假冒成该IP ISP网络内成百上千台计算机中的一台ISP追溯

3.追溯发起攻击的源端的方法不少，这些方法假定存在源地址假冒，它试图在攻击的源处抑制攻击，并判定恶意的攻击源它在地址假IP冒的情况下也可以工作，是采取必要的法律手段防止未来攻击的关键提醒学生一步早期面对风暴型路由器动态检测和控制

4.很多DoS这种方法的基本原理是在路由器上动态检测和控制攻击引起DoS时候只能的拥塞，其主要依据是攻击分组虽然可能来源于多个流，但这些DoS关机，现在流肯定有某种共同特征，比如有共同的目的地址或源地址或地址前有了流量清洗就不缀或者都是类型的报文这些流肯定在某些路由器的某些TCP SYN一样了，输出链路上聚集起来并造成大量的分组丢失这些有共同特征的流可但要花钱以称为流聚集如果一个路由器辨识出了这些高带宽的流aggregate购买服务聚集，它就可以通知上游路由器限制其发送速率流量清洗流量清洗主要针对互联网数据中心或云Internet DataCenter,IDC会影响用服务的中大型客户，尤其是对互联网有高度依赖的商业客户和那些不户的正常能承担由于攻击所造成巨额营业损失的客户，如金融机构、游DDoS网络访问戏服务提供商、电子商务和内容提供商其基本原理是对进入或吗？如何IDC在高速网云的数据流量进行实时监控，及时发现包括攻击在内的异常流DDoS络环境中量在不影响正常业务的前提下，清洗掉异常流量有效满足客户对实施流量运作连续性的要求同时该服务通过时间通告、分析报表等服务IDC清洗？内容提升客户网络流量的可见性和安全状况的清晰性拒绝服务攻击是最容易实现，却最难防护的攻击手段，因为很难分辨哪些是合法的请求，哪些是伪造的请求为了应对拒绝服务攻击，需要注意熟悉系统中各种公开服务所采用的软件，了解他们处理请1求的资源和时间耗费减少和停止不必要的服务，不给攻击者有可乘之机2（）修改有关服务的配置参数，保证其对资源的耗费处于可控制3的状态（）安装过滤和报文过滤软件，并根据系统日志对具有攻击4IP企图的行为进行过滤（）及时阅读有关安全方面的信息，并随时更新相应服务软件及5防护软件作业与思考题、拒绝服务攻击这种攻击形式存在的根本原因是什么，是否能完全遏1制这种攻击？、哪些协议可被攻击者用来进行风暴型攻击？攻击者在选择2DDoS用做攻击流量的协议时，主要考虑哪些因素？DDoS、分析攻击、连接耗尽型攻击、风暴型攻击的3SYN FloodTCP HTTP优缺点参考资料吴礼发，洪征《网络攻防原理与技术（第版）》，机械工业4出版社，年2024本次课教学体会的而则是多个攻击者向同一受害者的攻击DoS,DDoS二分类按攻击目标分类1按攻击目标分类，拒绝服务攻击可分为节点型和网络连接型DoS节点型又可分为主机型和应用型主机型主要对主机的DoS DoS、磁盘、操作系统、文件系统等进行攻击；应用型主要CPU DoSDoS对主机中的应用软件进行攻击，如服务器、服务器、DoS EmailWeb服务器、数据库服务器等DNS按攻击方式分类2按攻击方式分类，拒绝服务攻击可分为资源破坏型、物理破DoS坏型和服务终止型资源破坏型主要是指耗尽网络带宽、DoS DoSo DoS主机内存、、磁盘等；物理破坏型主要是指摧毁主机或网络CPU DoS节点的攻击；服务终止型则是指攻击导致服务崩溃或终止DoSDoS按攻击是否直接针对受害者分类3可以组织按攻击是否直接针对受害者分类，可分为直接型和间接型DoS学生结合直接型攻击直接对受害者发起攻击；间接型则是通过自己的网DoSoDoSDoS络使用经攻击对受害者有致命影响的其他目标，从而间接导致受害者不能提供验进行分服务析，有哪些按攻击机制分类4拒绝服务按攻击机制分类，拒绝服务攻击可分为剧毒包或杀手包型、风暴攻击的类型型和重定向型三种剧毒包型攻击主要利用协议本身或其软件实现中的漏洞，向目标发送一些异常的畸形的数据包使目标系统在处理时出现异常，甚至崩溃风暴型拒绝服务攻击主要通过向目标发送大量的网络数据包，导致目标系统或网络的资源耗尽而瘫痪重定向攻击是指通过修改网络中的一些参数，如表、缓存,使得从受害ARP DNS者发出的或发向受害者的数据包被重定向到别的地方

二、剧毒包型拒绝服务攻击剧毒包或杀手包（）攻击利用协议本身或其软Killer PacketDoS件实现中的漏洞，通过一些畸形的数据包使受害者系统崩溃，也称为“漏洞攻击”或“协议攻击”碎片攻击（）也称为泪滴攻击，是利用、Teardrop Windows

3.

1、和低版本的中处理分片时的漏洞，Windows95Windows NTLinux IP向受害者发送分片偏移地址异常的数据包分片，使得目标主机UDP在重组分片时出现异常而崩溃或重启数据报分组首部中的标志位IP中的标志为时，即指示可以对该分组进行分片传输首部中的DF0片偏移字段（）指示某一分片在原分组中的相对位置,且以个字offset8节为偏移单位也就是说，相对于用户数据字段的起点,该片从何处开始攻击者精心构造数据报分片的字段，使得系统在计算要offset拷贝的数据片的大小时，得到一个负数由于系统采用的是无符号整数，负数相当于一个很大的整数，这将导致系统出现异常，如堆栈损坏、模块不可用或系统挂起等IP攻击也称为也称为“死亡之、攻击,Ping ofDeath Ping”ICMP Bug它利用协议实现时的漏洞（）向受害者发送超长的CVE-1999-0128,Ping剧毒包型数据包（包），导致受害者系统异常，如死机、重启、崩溃等ICMP拒绝服务一个包中的数据部分不能超过字节如果攻击攻击能够ICMP65515-8=65507成功的原者发送给受害者主机的包中的数据超过字节,则该数据包ICMP65507因是什封装到包后，总长度就超过了包长的限制，接收到此数据包的IP IP么？针对主机将出现异常具体的攻攻击利用的是主机在处理连接请求上的安全漏洞，其击方式，进Land TCP行思考攻击原理是用一个特别构造的包（三次握手中的第一TCP SYNTCP步，用于发起连接请求），该数据包的源地址和目标地址都被设TCP置成受害者主机的地址此举将导致收到该数据包的主机向自己回IP复消息（三次握手中的第二步，连接响应），TCPSYN+ACK结果主机又发回自己一个消息（三次握手中的第三步）并创建一ACK个空连接被攻击的主机每接收一个这样的数据包，都将创建一条新连接并保持，直到超时最终，将导致主机挂起、崩溃或者重启例如许多系统将崩溃，将变得极其缓慢UNIX WindowsNT循环攻击也称为振荡攻击（）或乒乓攻击，其攻击原Oscillate Attack理是当两个都会产生输出的端口（可以是一个系统/一台计算机的两个端口，也可以是不同系统/计算机的两个端口）之间建立连接以后，第一个端口的输出成为第二个端口的输入，导致第二个端口产生输出；同时，第二个端口的输出又成为第一个端口的输入如此一来，在两个端口间将会有大量的数据包产生，导致拒绝服务年月日，微软修复了一个协议栈中的严20201014Windows IPv6剧毒包型重远程代码执行漏洞（）远程攻击者无需用户验证即CVE-2020-16898,拒绝服务可通过发送恶意构造的路由广播包导致目标系统代码执行或攻击目前ICMPv6仍然存在拒绝服务（系统崩溃）

三、风暴型拒绝服务攻击

（一）攻击原理风暴型拒绝服务攻击是最主要的拒绝服务攻击形式，通常情况下，谈到拒绝服务攻击时就是指这种类型的攻击它主要通过向攻击目标发送大量的数据包（也称为“数据风暴”）来达到瘫痪目标的目的分析剧毒风暴型拒绝服务攻击一般包括个步骤，3包型拒绝）攻击者通过扫描工具寻找一个或多个能够入侵的系统，并获得服务攻击1与风暴型系统的控制权然后，在被攻陷的系统中安装的管理者（）DoS handler拒绝服务这一步常常针对缓存溢出漏洞或系统安全配置漏洞来进行o攻击的主）攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统，2要区别获得该系统的控制权在被攻陷的系统中安装并运行的攻击代DoS理（）agent）攻击者通过通知攻击代理攻击的目标以及攻击类型等3handler很多攻击工具的将攻击者、攻击代理和之间的通信信道加密handler以便较好地隐藏攻击网络在收到攻击指令后，攻击代理发起真DoS正的攻击风暴型拒绝服务攻击之所以能成功，主要原因有以下几点）协议存在漏洞，可以被攻击者利用1TCP/IP分析风暴）网络提供服务,不区分数据流量是否是攻击流量2Best-Effort型拒绝服）因特网没有认证机制，从而容易遭受欺骗务攻击能3IP够成功的）因特网中的路由器不具备数据追踪功能，因而无法验证一个数4原因据包是来自于其声称的位置）网络带宽和系统资源是有限的，这是最根本原因5风暴型拒绝服务攻击一般又分为两类直接风暴型和反射型直接风暴型拒绝服务攻击的特点是攻击者直接利用自己控制的主机向攻击目标发送大量的网络数据包反射型拒绝服务攻击的特点是攻击者伪造攻击数据包，其源地址为被攻击主机的地址，目的地址为网络IP上大量网络服务器或某些高速网络服务器的地址，通过这些服务器（作为反射器）的响应实施对目标主机的拒绝服务攻击

（二）直接风暴型拒绝服务攻击攻击，也称为洪泛攻击”、洪水攻击”,是SYN Flood“SYN“SYN当前最流行的拒绝服务攻击方式之一它的基本原理是向受害主机（服直接风暴型拒绝服务器）发送大量报文（连接请求），但对服务器的TCP SYNTCP SYN务攻击将应答报文（连接响应）不作应答，即三次握手的第三次握手（对+ACK攻击数据响应的响应）无法完成在这种情况下，服务器端一般会重试（再次包直接发发送给客户端）并等待一段时间后丢弃这个未完成的连接送给目标SYN+ACK主机（称为“半连接”，放在半连接表中）如果一个恶意攻击者发出大量这种请求，则服务器端为了维护一个非常大的半连接列表而消耗非常多的资源一般系统中，半连接数的上限为超过此限制则不接受新的连接请求，即使是正常用1024,户的连接请求此时从正常客户的角度看来，服务器失去响应了止匕外，对服务器的性能也会有大的影响，即使是简单的保存并遍历也会消耗非常多的和内存资源，何况还要不断对这个列表中的各个CPU客户端进行的重试，这将导致部分系统崩溃TCPSYN+ACK风暴攻击的攻击原理是攻击者利用控制的大量主机向受害Ping者发送大量的回应请求（即）消息，使ICMP ICMPEcho Request,Ping受害者系统忙于处理这些消息而降低性能，严重者可能导致系统无法对其他的消息做出响应这种攻击简单而有效连接耗尽型攻击是向被攻击主机发起连接请求（即发送TCPTCPSYN数据包），与SYN Flood攻击不同的是，它通常会完成三次比较TCP连接耗尽握手过程，即建立连接通过建立众多的连接耗尽受害者TCP TCP型攻击与的连接资源，从而无法接受正常用户的连接请求，因此也称为“空连SYN接攻击与攻击相比，这种攻击还有一点不同，即它不SYN Flood攻击Flood需要不停地向受害者发起连接请求，只需要连接数量到达一定程度即的区别可，但是攻击必须不停地发，一旦停止受害者即可恢复SYN Flood风暴型攻击的攻击原理是用协议对网页进行合法请HTTP HTTP求，不停地从受害者处获取数据，占用连接的同时占用网络带宽为了尽可能地扩大攻击效果，这种攻击一般会不停地从受害者网站上下载大的文件（如大的图像和视频文件），从而使得一次请求占用系统更多的资源而一般的连接耗尽型攻击只占用连接，并不见得有太多的数据传输这种攻击的缺点是一般要使用真实的地址，通常是被IP攻击者控制的傀儡主机的地址，因此攻击者一般都控制了由大量僵IP尸主机构成的僵尸网络近几年来，一种称为（译为“挑战HTTP CCChallenge Collapsar,黑洞”）的风暴型拒绝服务攻击（也称为代理攻击）非常流行HTTP攻击的原理是攻击者借助控制的大量僵尸主机向受害服务器HTTPCC发送大量的合法网页请求，导致服务器来不及处理一般来说，访问静态页面不需要消耗服务器多少资源，甚至可以说直接从内存中读出发给用户就可以但是，动态网页就不一样,例如论坛之类的动态网页，用户看一个帖子，系统需要到数据库中判断其是否有读帖子的权限，如果有，就读出帖子里的内容，显示出来一注意攻击一这里至少访问了次数据库如果数据库有大小，系统很过程会着2200MB重考虑资可能就要在这大小的数据空间搜索一遍，这需要多少的200MB CPU源的消耗资源和时间？如果查找一个关键字，那么时间更加可观，因为前面的情况搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索会对所有数据进行一次判断，消耗的时间是相当多攻击就充分利用了这个CC特点，模拟多个用户不停地进行访问，特别是访问那些需要大量数据操作的请求，即大量占用时间的页面，比如CPU asp/php/jsp/cgio

（三）反射型拒绝服务攻击反射型拒绝服务攻击（Distributed ReflectionDenial ofService,）在实施时并不直接向目标服务器或网络发送数据包，而是通DRDoS反射型拒过中间节点（称为“反射器”）间接向目标服务器或网络发送大量数绝服务攻击相比于据包，导致目标服务器被破坏或使其及周边网络基础设施无法访问直接型拒攻击者一般用一个假的源地址（被攻击的目标网络地址），向互联绝服务攻网上开放式服务器（反射器）发欺骗请求数据包，服务器收到数据包击有什么以后，将向这个源地址（被攻击目标）回送一个或多个响应包为提突出优势？高攻击效果，攻击者通常会选择响应包大于欺骗请求包的服务作为反射器（一般将“响应包大小/请求包大小”称为“放大倍数”或引导学生“放大因素”），如、、等服务，从而大大放大对目DNS NTPChargen思考攻击标发送的流量规模和带宽者如何选反射型攻击的发起者无需掌控大量僵尸网络，只需通过修DDoS择反射源改源地址，就可以发起攻击，因此，具有攻击者隐蔽、难以追踪的IP特性，是目前主流的风暴型拒绝服务攻击方法在反射型整个DDoS攻击过程中，反射节点也无法识别请求发起源是否具有恶意动机

（四）僵尸网络引导学生僵尸网络（）是僵尸主人（）通过命令与控制Botnet BotMaster讨论如果（）信道控制的具有协同性的恶意计算机Command andControl,CC你掌握了群，其中，被控制的计算机称为僵尸主机（俗称“肉鸡”）,僵Zombie,大量主机，尸主人用来控制僵尸主机的计算机程序称为僵尸程序（）正是这种你会采用Bot o什么样的一对多的控制关系，使得攻击者能够以极低的代价高效控制大量的资方式对这源为其服务，这也是僵尸网络攻击模式近年来受到黑客青睐的根本原些主机实因在执行恶意行为时，僵尸网络充当了攻击平台的角色,是一种效施控制？能巨大的网络战武器僵尸网络主要应用于网络侦察和攻击，即平时隐蔽被控主机的主机信息，战时发动大规模流量攻击（即风暴型拒绝服务攻击），是实施大规模拒绝服务攻击的主要方式类僵尸网络基于标准协议在聊天服务器上构建其命IRC IRC IRC令与控制信道，控制者通过命令与控制信道实现对大量受控主机的僵尸程序版本更新、恶意攻击等行为的控制僵尸网络健壮性差，存在单点失效问题，可通过摧毁单个IRC IRC服务器来切断僵尸网络控制者与的联系，导致整个僵尸网络瘫痪bot针对这一问题，的僵尸程序使用域名而非固定的地址连接bot IPIRC服务器，僵尸网络控制者使用动态域名服务将僵尸程序连接的域名映射到其控制的多台服务器上，一旦正在工作的服IRCIRC分析采用务器失效，僵尸网络的受控主机会连接到其他的服务器，整个僵IRC实施IRC尸网络继续运转此外，将僵尸网络的控制权通过出租出售谋取经济控制的优利益是目前僵尸网络产业链的重要组成部分僵尸网络主动或者被动势和劣势改变其服务器的行为称为僵尸网络的迁移此外，出于管理便捷IRC的考虑，某些大型僵尸网络采用分层管理模式，由多个服务器控IRC制各自不同的群体，而所有的服务器由僵尸网络控制者统一bot IRC控制僵尸网络中，与控制者是实体，服务器只是中间桥梁IRC botIRC要准确掌握僵尸网络，必须掌握僵尸网络（控制者）与的对应关bot系由于僵尸网络服务器与连接的复杂衍变特性以及服IRC botIRC务器与控制者通信检测的困难，因此检测僵尸网络非常困难为了克服僵尸网络命令与控制机制的不足，使僵尸网络更加IRC健壮，就需要更具鲁棒性的命令与控制机制命令与控制机制靠P2P着其出色的分散和对等性质成了黑客的首选之一网络中每台僵尸主机都与该僵尸网络中的某一台或某几台僵尸主机存在连接如果有新分析采用的形的被感染主机要加入僵尸网络，它在感染时就会得到该僵尸网络中的P2P式实施控某台或某些僵尸主机的地址，然后建立连接建立连接之后，它可IP制的优势以对所要连接的地址进行更新这样，僵尸网络中的每台僵尸主机IP都可以同其他任何一台僵尸主机建立通信链路僵尸主人也就可以通过普通的一台对等主机向整个僵尸网络发送命令和控制信息，达到自己的目的四拒绝服务攻击的应用拒绝服务攻击除了直接用于瘫痪攻击目标外，还可以作为特权提升攻击、获得非法访问的一种辅助手段这时拒绝服务攻击服从于其他攻击的目的通常，攻击者不能单纯通过拒绝服务攻击获得对某些系统、信息的非法访问，但可将其作为间接手段使用。