介紹
DDoS是Distributed Denial of Service的簡(jiǎn)稱，中文是分布式拒絕服務(wù)。DDoS的前身DoS（Denial of Service），即拒絕服務(wù)。

最基本的DoS攻擊就是攻擊者利用大量合理的服務(wù)請(qǐng)求來占用攻擊目標(biāo)過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDOS攻擊又稱之為"分布式攻擊",它使用非法數(shù)據(jù)淹沒網(wǎng)絡(luò)鏈路，這些數(shù)據(jù)可能淹沒Internet鏈路，導(dǎo)致合法數(shù)據(jù)流被丟棄。

DoS（拒絕服務(wù)）攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)各項(xiàng)性能指標(biāo)不高時(shí)（例如CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等），它的效果是明顯的。

然而DDOS攻擊比DOS（拒絕服務(wù)）更加可怕，規(guī)模極大，通常他們是以幾百臺(tái)計(jì)算機(jī)或甚至幾萬臺(tái)以上的計(jì)算機(jī)進(jìn)行以點(diǎn)試圖掩沒攻擊為目標(biāo)，使目標(biāo)機(jī)子在1分鐘內(nèi)變成癱瘓狀態(tài)，一下子接受那么多數(shù)據(jù)包，它就算是臺(tái)巨型機(jī)的速度，也不可能達(dá)到一下處理幾千臺(tái)或幾萬臺(tái)機(jī)子攻擊目標(biāo)的現(xiàn)象，相同，洪水攻擊也是這類攻擊的一種。

特點(diǎn)
DDOS利用大量合法的分布式服務(wù)器對(duì)目標(biāo)發(fā)送請(qǐng)求，從而導(dǎo)致正常合法用戶無法獲得服務(wù)。通俗點(diǎn)講就是利用網(wǎng)絡(luò)節(jié)點(diǎn)資源如：IDC服務(wù)器、個(gè)人PC、手機(jī)、智能設(shè)備、打印機(jī)、攝像頭、路由器等對(duì)目標(biāo)發(fā)起大量攻擊請(qǐng)求，從而導(dǎo)致服務(wù)器擁塞而無法對(duì)外提供正常服務(wù)。

分類
DDoS攻擊按攻擊方式劃分有：泛洪攻擊(Flood)、畸形報(bào)文攻擊(Malformation)、掃描探測(cè)類攻擊(Scan&Probe)。

泛洪攻擊，也叫Flood攻擊，是指攻擊者通過僵尸網(wǎng)絡(luò)、代理或直接向攻擊目標(biāo)發(fā)送大量的偽裝的請(qǐng)求服務(wù)報(bào)文，最終耗盡攻擊目標(biāo)的資源。發(fā)送的大量報(bào)文可以是TCP的SYN和ACK報(bào)文、UDP報(bào)文、ICMP報(bào)文、DNS報(bào)文、HTTP/HTTPS報(bào)文等。

畸形報(bào)文攻擊通常指攻擊者發(fā)送大量有缺陷或特殊控制作用的報(bào)文，從而造成主機(jī)或服務(wù)器在處理這類報(bào)文時(shí)系統(tǒng)崩潰?；螆?bào)文攻擊例如Smurf、Land、Fraggle、Teardrop、WinNuke攻擊等。特殊控制報(bào)文攻擊包括超大ICMP報(bào)文、ICMP重定向報(bào)文、ICMP不可達(dá)報(bào)文和各種帶選項(xiàng)的IP報(bào)文攻擊。

掃描探測(cè)類攻擊是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)動(dòng)真正攻擊前的網(wǎng)絡(luò)探測(cè)行為，例如IP地址掃描和端口掃描等。

層級(jí)

DDoS攻擊按TCP/IP協(xié)議分層劃分有：網(wǎng)絡(luò)層攻擊、傳輸層攻擊、應(yīng)用層攻擊。

網(wǎng)絡(luò)層：IP地址掃描攻擊、大部分特殊控制報(bào)文攻擊、Teardrop攻擊、Smurf攻擊、IP分片報(bào)文攻擊、ICMP Flood攻擊

傳輸層：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP連接耗盡攻擊、UDP Flood（包括各種反射攻擊）、TCP/UDP分片報(bào)文攻擊、DNS Flood、DNS緩存投毒、其余各種與TCP、UDP報(bào)文和端口相關(guān)的攻擊

應(yīng)用層：HTTP Flood、HTTP慢速攻擊、HTTPS Flood、SSL DDoS攻擊、SIP Flood

攻擊手段

DDoS攻擊通過大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的?？煞譃橐韵聨追N：

1、通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。

2、通過向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。

3、阻斷某一用戶訪問服務(wù)器。

4、阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。

[[346108]]

如何防御?
軟件防御沒有什么好辦法，可以開啟全站CDN，CDN能隱藏真實(shí)服務(wù)器IP。把DDOS的攻擊分流出去，增加攻擊成本，也可以買硬件防火墻、高防G口的機(jī)子

從目前來看，雖然降低DDoS攻擊的影響并非易事，但還是可以采取必要措施以減少損失。

對(duì)于企業(yè)而言，抵御DDoS攻擊與部署反病毒保護(hù)、針對(duì)性攻擊防御、數(shù)據(jù)泄露措施等安全方案同樣至關(guān)重要。

【編輯推薦】