介紹
DDoS是Distributed Denial of Service的簡稱，中文是分布式拒絕服務。DDoS的前身DoS（Denial of Service），即拒絕服務。

最基本的DoS攻擊就是攻擊者利用大量合理的服務請求來占用攻擊目標過多的服務資源，從而使合法用戶無法得到服務的響應。DDOS攻擊又稱之為"分布式攻擊",它使用非法數(shù)據(jù)淹沒網(wǎng)絡鏈路，這些數(shù)據(jù)可能淹沒Internet鏈路，導致合法數(shù)據(jù)流被丟棄。

DoS（拒絕服務）攻擊一般是采用一對一方式的，當攻擊目標各項性能指標不高時（例如CPU速度低、內存小或者網(wǎng)絡帶寬小等等），它的效果是明顯的。

然而DDOS攻擊比DOS（拒絕服務）更加可怕，規(guī)模極大，通常他們是以幾百臺計算機或甚至幾萬臺以上的計算機進行以點試圖掩沒攻擊為目標，使目標機子在1分鐘內變成癱瘓狀態(tài)，一下子接受那么多數(shù)據(jù)包，它就算是臺巨型機的速度，也不可能達到一下處理幾千臺或幾萬臺機子攻擊目標的現(xiàn)象，相同，洪水攻擊也是這類攻擊的一種。

特點
DDOS利用大量合法的分布式服務器對目標發(fā)送請求，從而導致正常合法用戶無法獲得服務。通俗點講就是利用網(wǎng)絡節(jié)點資源如：IDC服務器、個人PC、手機、智能設備、打印機、攝像頭、路由器等對目標發(fā)起大量攻擊請求，從而導致服務器擁塞而無法對外提供正常服務。

分類
DDoS攻擊按攻擊方式劃分有：泛洪攻擊(Flood)、畸形報文攻擊(Malformation)、掃描探測類攻擊(Scan&Probe)。

泛洪攻擊，也叫Flood攻擊，是指攻擊者通過僵尸網(wǎng)絡、代理或直接向攻擊目標發(fā)送大量的偽裝的請求服務報文，最終耗盡攻擊目標的資源。發(fā)送的大量報文可以是TCP的SYN和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。

畸形報文攻擊通常指攻擊者發(fā)送大量有缺陷或特殊控制作用的報文，從而造成主機或服務器在處理這類報文時系統(tǒng)崩潰。畸形報文攻擊例如Smurf、Land、Fraggle、Teardrop、WinNuke攻擊等。特殊控制報文攻擊包括超大ICMP報文、ICMP重定向報文、ICMP不可達報文和各種帶選項的IP報文攻擊。

掃描探測類攻擊是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡探測行為，例如IP地址掃描和端口掃描等。

層級

DDoS攻擊按TCP/IP協(xié)議分層劃分有：網(wǎng)絡層攻擊、傳輸層攻擊、應用層攻擊。

網(wǎng)絡層：IP地址掃描攻擊、大部分特殊控制報文攻擊、Teardrop攻擊、Smurf攻擊、IP分片報文攻擊、ICMP Flood攻擊

傳輸層：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP連接耗盡攻擊、UDP Flood（包括各種反射攻擊）、TCP/UDP分片報文攻擊、DNS Flood、DNS緩存投毒、其余各種與TCP、UDP報文和端口相關的攻擊

應用層：HTTP Flood、HTTP慢速攻擊、HTTPS Flood、SSL DDoS攻擊、SIP Flood

攻擊手段

DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的。可分為以下幾種：

1、通過使網(wǎng)絡過載來干擾甚至阻斷正常的網(wǎng)絡通訊。

2、通過向服務器提交大量請求，使服務器超負荷。

3、阻斷某一用戶訪問服務器。

4、阻斷某服務與特定系統(tǒng)或個人的通訊。

[[346108]]

如何防御?
軟件防御沒有什么好辦法，可以開啟全站CDN，CDN能隱藏真實服務器IP。把DDOS的攻擊分流出去，增加攻擊成本，也可以買硬件防火墻、高防G口的機子

從目前來看，雖然降低DDoS攻擊的影響并非易事，但還是可以采取必要措施以減少損失。

對于企業(yè)而言，抵御DDoS攻擊與部署反病毒保護、針對性攻擊防御、數(shù)據(jù)泄露措施等安全方案同樣至關重要。

【編輯推薦】