Python网络安全实战（十六）构建简易Dos攻击脚本，剖析防御原理

1. 从“堵门”说起：什么是DoS攻击？

大家好，我是老张，在安全圈摸爬滚打也有些年头了。今天咱们不聊那些高深莫测的APT攻击，也不讲复杂的漏洞利用，就从一个最“古老”、最“朴素”的网络攻击手段说起——DoS攻击。你可以把它想象成现实生活中的“堵门”。想象一下，你家门口本来是一条通畅的小路，邻居朋友都能正常进出。突然有一天，有人叫来几百个人，也不干别的，就堵在你家门口，不进去也不出来，就是站着聊天、来回走动。结果是什么？真正想来拜访你的人，比如送外卖的小哥、来找你玩的朋友，全都被堵在外面，根本进不来。你家这个“服务”就彻底瘫痪了。

DoS攻击（Denial of Service，拒绝服务攻击）干的就是这个“堵门”的活儿。它的目的不是偷你家的东西（不窃取数据），也不是冒充你（不伪装身份），纯粹就是让你“做不了生意”，无法提供正常的网络服务。无论是你的个人博客、公司官网，还是游戏服务器，一旦遭遇有效的DoS攻击，轻则访问变慢、卡顿，重则直接“连接失败”，彻底下线。对于依赖线上服务的企业来说，这造成的直接经济损失和声誉损失是巨大的。

那么，这种攻击是怎么实现的呢？核心思路就是“资源耗尽”。任何一台服务器，它的处理能力（CPU）、内存、网络带宽，甚至是操作系统能同时维护的网络连接数，都是有限的。DoS攻击者就像那个组织人群堵门的家伙，他利用各种手段，向目标服务器发送海量的、无效的请求，疯狂消耗这些有限的资源。当服务器的资源全部被这些“假客人”占用时，“真客人”的自然请求就再也得不到处理了。在技术学习，尤其是网络安全学习的过程中，亲手写一个简单的DoS攻击脚本，是理解这种攻击本质最直观的方式。这就像学医的要了解病毒，学建筑的要了解承重极限一样，知其然，更要知其所以然。今天，我们就用Python这把“手术刀”，来解剖一下这个“堵门”的过程，并重点聊聊，作为“房主”，我们该如何加固自己的“大门”。

2. 攻击原理深潜：TCP三次握手的“烂尾楼”

在动手写代码之前，我们必须把原理吃透。很多教程只给代码，不讲为什么，这样学到的只是“花架子”。咱们要搞明白，攻击者到底是怎么把服务器的资源“耗干”的。这里的关键，就在于 TCP三次握手。你可以把它理解成一次严谨的、需要双方确认的“打电话”过程。

正常情况下，客户端（访客）想访问服务器（你家）：

1. 第一次握手（SYN）：客户端打电话给服务器，说：“喂，你好，我想跟你建立连接。”（发送一个SYN数据包）
2. 第二次握手（SYN-ACK）：服务器听到电话铃响，接起来说：“我听到了，我这边准备好了，你确认一下？”（回复一个SYN-ACK数据包，并为这次通话分配一些内存等资源，准备进入“通话中”状态）
3. 第三次握手（ACK）：客户端再次确认：“好的，我也准备好了，咱们开始通话吧！”（回复一个ACK数据包）。至此，连接正式建立，双方开始传输数据。

DoS攻击者，就恶意地利用了第二次握手后、第三次握手前的这个“等待状态”。攻击者会伪造大量的虚假IP地址，向服务器疯狂发起 第一次握手（SYN）。服务器是个“老实人”，每接到一个SYN请求，它都会礼貌地回复SYN-ACK，并在内存中开辟一块空间，记录下这个“未完成的连接”，然后开始等待对方的第三次握手确认（ACK）。

问题来了！攻击者发送的SYN请求是伪造的，那个IP地址可能根本不存在，或者是一台不相关的机器。所以，服务器的SYN-ACK包发出去，就像石沉大海，永远也等不到回来的ACK包。这个“未完成的连接”就会一直挂在服务器的等待队列里，占用着内存和连接槽位。这种半开连接，就像工地上只打了地基就停工的项目，我们称之为 SYN Flood攻击，是DoS最常见的形式之一。

当这样的“烂尾楼连接”在短时间内达到成千上万个时，服务器的连接资源表就被填满了。它再也没有多余的空间去处理正常用户的合法连接请求。于是