DDoS的中文名稱是“分布式拒絕服務(wù)”，拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood等。

[[239890]]

作為DDoS界的翹楚，CC攻擊絕對(duì)可以稱得上是讓眾多網(wǎng)站運(yùn)營者夜不能寐的罪魁禍?zhǔn)字唬@是因?yàn)榕c其他的DDoS攻擊手段相比，對(duì)CC攻擊的防御要困難得多得多，原因在于這種攻擊——“特別會(huì)玩躲貓貓”。攻擊者并非是直接攻擊受害主機(jī)，而是通過代理服務(wù)器或者“肉雞”向受害主機(jī)不停地發(fā)送大量的真實(shí)數(shù)據(jù)包，但若是從流量上進(jìn)行查看，運(yùn)營者可能跟本能意識(shí)不到自己遭受到了攻擊，因?yàn)镃C攻擊并不一定會(huì)產(chǎn)生特別大的異常流量，只有網(wǎng)站服務(wù)器的連接數(shù)大量升高，而且這些連接的請(qǐng)求IP都是真實(shí)且分散的，真正的攻擊發(fā)起者的IP卻隱藏在幕后。在此種隱蔽的攻擊之下，服務(wù)器最終只有資源耗盡，乃至宕機(jī)崩潰這一結(jié)局。

然而這種聽上去比其他DDoS攻擊“更有技術(shù)含量一些”的攻擊方式，實(shí)際地完成起來并沒有想象中的那樣困難，只需要“一個(gè)更換IP代理的工具+一些IP代理+一點(diǎn)初、中級(jí)的電腦水平”就能夠?qū)嵤?/p>

互聯(lián)網(wǎng)江湖上流傳著多種抵御CC攻擊的方法，包括“利用Session做訪問計(jì)數(shù)器”、“把網(wǎng)站做成靜態(tài)頁面”、“增強(qiáng)操作系統(tǒng)的TCP/IP棧”、“ 嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間”等。

然而事實(shí)證明，對(duì)于“灑灑水”般的CC攻擊，這些方法是能起到一定的作用，但是若是面對(duì)規(guī)模“稍微”大一點(diǎn)的攻擊，這些方法就只能統(tǒng)統(tǒng)靠邊站了。前不久，國內(nèi)某網(wǎng)絡(luò)攻防實(shí)驗(yàn)室搞了一場攻擊測試，過程及結(jié)果如下：

攻擊前

IP狀態(tài)：無任何防護(hù)

流量、CPU和連接數(shù)情況：正常

端口情況：正常

web可用性：正常

SYN FLOOD攻擊

流量、CPU和連接數(shù)情況：

端口情況：無響應(yīng)

web可用性：不可用

結(jié)果：網(wǎng)站撲街

ACK FLOOD攻擊

流量、CPU和連接數(shù)情況：

端口情況：響應(yīng)變慢

web可用性：降低

結(jié)果：CPU使用率飆升，端口響應(yīng)變慢 

FIN FLOOD攻擊

流量、CPU和連接數(shù)情況：

端口情況：

web可用性：降低

 結(jié)果：CPU使用率飆升

RST FLOOD攻擊

流量、CPU和連接數(shù)情況：

端口情況：響應(yīng)變慢

web可用性：降低

結(jié)果：CPU使用率飆升，端口響應(yīng)變慢

攻擊器- nping

流量、CPU和連接數(shù)情況：

端口情況：響應(yīng)變慢

web可用性：降低

 結(jié)果：CPU使用率飆升

攻擊器- GoldenEye

流量、CPU和連接數(shù)情況：

連接數(shù)最大1500，CPU上升

端口情況：無響應(yīng)

 web可用性：不可用

結(jié)果：網(wǎng)頁無法訪問,RDP中斷

結(jié)果分析

從測試結(jié)果可以看到，撤掉了防護(hù)的網(wǎng)站IP，無論是面對(duì)單一類型的flood攻擊還是專業(yè)的DDoS、CC攻擊工具都無法招架，網(wǎng)站無法平穩(wěn)運(yùn)行，輕者CPU飆升，重者宕機(jī)。尤其是CC攻擊，更是令人防不勝防。