Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack) je druh útoku na zabezpečení sítě, který zahlcuje cílová zařízení obrovským množstvím falešných dat, takže dojde k zahlcení cíle, který zpracovává tento falešný příchozí provoz a nemůže zpracovávat běžný provoz. Cílem může být brána firewall, síťové zdroje, ke kterým brána firewall řídí přístup, nebo specifická hardwarová platforma nebo operační systém samostatného hostitele. Útok DoS se pokouší vyčerpat zdroje cílového zařízení, takže cílové zařízení nebude dostupné pro legitimní uživatele.

Existují dvě obecné metody útoků DoS: flooding služeb nebo selhání služeb. K floodingu dojde, když systém obdrží příliš mnoho dat pro server do vyrovnávací paměti, což způsobí jeho zpomalení a nakonec zastavení. Ostatní útoky DoS jednoduše zneužívají chyby, které způsobují selhání cílového systému nebo služby. Během těchto útoků je odeslán vstup, který využívá chyb v cíli, které následně způsobí selhání nebo závažnou destabilizaci systému.

Útok LAND je útok DoS na vrstvu 4, ve kterém je vytvořen paket TCP SYN, což znamená, že zdrojová IP adresa a port jsou stejné jako cílová IP adresa a port, a ty jsou nastaveny tak, aby odkazovaly na otevřený port na cílovém zařízení. Zranitelné cílové zařízení obdrží tuto zprávu a odpoví na cílovou adresu, takže paket bude odesílán v nekonečné smyčce. Kapacita procesoru je tak beze zbytku využita, což způsobuje selhání nebo zamrznutí ohroženého cílového zařízení.

Internetový protokol (IP) zapouzdřuje segment SYN protokolu TCP (Transmission Control Protocol) v paketu IP za účelem iniciace připojení TCP a vyvolá v odezvě segment SYN/ACK. Vzhledem k tomu, že je paket IP malý, neexistuje žádný oprávněný důvod pro jeho fragmentaci. Fragmentovaný paket SYN je anomální a tedy podezřelý. V rámci útoku fragmentu paketu TCP SYN je cílový server nebo hostitel zahlcen fragmenty paketu TCP SYN. Hostitel zachytí fragmenty a čeká na doručení zbývajících paketů, aby mohl paket znovu sestavit. Floodingem serveru nebo hostitele prostřednictvím připojení, která nemohou být dokončena, se vyrovnávací paměť hostitele přeplní, a proto nelze navázat žádné další legitimní připojení. Tím dojde k poškození operačního systému cílového hostitele.

Útok typu Ping Of Death na ICMP (Internet Control Message Protocol) provádí útočník, který odešle několik chybných nebo škodlivých pingů do cílového zařízení. Ačkoli jsou pakety ping pro kontrolu dostupnosti hostitelů v síti obecně malé, útočník může použít větší, než je jejich maximální velikost 65 535 bajtů.

Při přenosu nebezpečného velkého paketu od škodlivého hostitele je paket během přenosu fragmentován, a pokud se cílové zařízení pokusí fragmenty IP znovu sestavit, výsledek překročí maximální povolenou velikost. To může způsobit přetečení paměti, která byla paketu původně přidělena, a dojde k selhání, zamrznutí nebo restartu systému, protože ten nebude schopen takto velké segmenty zpracovávat.

Útok fragmentací ICMP je běžným útokem DoS, který se týká zahlcení podvodnými fragmenty ICMP, které nemohou být na cílovém serveru defragmentovány. Protože defragmentace může proběhnout pouze po obdržení všech fragmentů, dočasné uložení těchto falešných fragmentů zabírá paměť a může vyčerpat dostupné paměťové zdroje ohroženého cílového serveru, v důsledku čehož se server stane nedostupným.

Aktivace ochrany proti neznámému protokolu IP adresy zablokuje pakety IP s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IP, aby se do chráněné sítě vůbec nedostaly.

Útočníci někdy konfigurují pole s možnostmi IP v paketu IP nesprávně, což vyprodukuje nekompletní nebo nesprávně formátovaná pole. Útočníci používají tyto poškozené pakety k ohrožení zranitelných hostitelů v síti. Zneužití této chyby zabezpečení může potenciálně umožnit spuštění libovolného kódu. Tato chyba zabezpečení může být zneužita po zpracování paketu, který obsahuje specifickou možnost vytvořené IP adresy v záhlaví IP paketu. Aktivace ochrany před možnostmi nezabezpečené IP adresy zablokuje přenosové pakety IP s nesprávně formátovaným polem možností IP adresy v záhlaví paketu IP.

Aktivace ochrany proti neznámému protokolu IPv6 adresy zablokuje pakety IPv6 s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IPv6, aby se do chráněné sítě vůbec nedostaly.