什么是DDOS攻击

白话解释DDOS攻击

比如一家火锅店.能容纳50个人用餐.

有个坏人,叫了50个人来店里,光坐着不点菜.这样店里就没法再来客人吃饭了.

DDOS原理

攻击者首先伪造地址，对服务器发起syn请求，服务器回应syn+ACK，而真实的IP会认为我没有发送请求，不做回应，而服务端没有收到回应，服务器就不知道是否发送成功，默认情况下重试5次 syn_retries，这样的话，对于服务器内存和带宽有很大的消耗。

解决SYN FLOOD方法

(1).无效连接监控

不停监视半开连接和不活动连接，当半开连接数和不活动连接数到达一定值时候，就释放系统资源。
伤敌1000，自损8000

(2).延缓TCB方法

SYN FLOOD的关键是利用了syn数据报一到，系统就分配TCB资源。
那么我们有两种方法资源问题
Syn cache
这种技术在收到Syn时不急着分配TCB，而是先回应一个ACK报文，并在一个专用的HASH表中保存这种连接，直到收到正确的ACK，才分配TCB。
Syn Cookie
用一种特殊的算法生成sequence number，算法考虑到对方的信息和己方信息，收到对方的ACK报文后，验证之后才决定是否生成TCB

原文链接：https://blog.csdn.net/yanghaitao_1990/article/details/51722928