一. 简介

DDoS（Distributed Denial of Service）：分布式拒绝服务攻击，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。
例如通过分散在各地的僵尸计算机进行攻击，让你的系统所提供的服务被阻断而无法顺利地为其他用户提供服务。
这种攻击方式不入侵你的系统，而是让你的系统无法正常提供服务。
这种攻击方式也是最难处理的，因为要么需要系统核心支持自动阻挡DDoS攻击的机制，要么需要自行撰写侦测软件来进行判断。
分布式拒绝服务攻击一旦被实施，攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”。

二. 常见攻击方式

常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

利用TCP协议的原理，这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。TCP通道在建立以前，需要三次握手：
①客户端发送一个包含SYN标志的TCP报文，同步报文指明客户端所需要的端口号和TCP连接的初始序列号
②服务器收到SYN报文之后，返回一个SYN+ ACK报文，表示客户端请求被接受，TCP初始序列号加1
③客户端也返回一个确认报文ACK给服务器，同样TCP序列号加1
④如果服务器端没有收到客户端的确认报文ACK，则处于等待状态，将该客户IP加入等待队列，然后轮训发送SYN+ACK报文
所以攻击者可以通过伪造大量的TCP握手请求，耗尽服务器端的资源。
除了传统的SYN报文攻击之外，攻击者还可以在这个基础上进行变形形成新的类似攻击，例如使用ACK报文进行Flood攻击、构造超长字节数目的攻击报文、修改TCP头的TCP标志位使得协议状态机混乱的攻击、短时间内大量建立完整TCP连接使得应用程序的TCP并发连接数达到极限值从而造成拒绝服务，统计表明这是目前使用比较多的攻击方式

和TCP连接不同，UDP协议是无连接状态不可靠的通道传输协议，本身不提供协调的消息反馈等机制，其通信的可靠性需要依靠其承载的应用程序来进行保证。
基于UDP协议的DDOS比较简单易行。黑客只需要伪造大量IP地址和小字节的UDP报文，针对特定的应用服务器及其端口号，大量发包冲击诸如DNS域名解析服务器、Radius认证服务器、部分网络游戏服务器、及流媒体视频服务器等。这些攻击报文将导致目标服务器始终处在繁忙状态，从而影响正常UDP消息的处理。其他诸如ICMP Flood攻击，其原理也和UDP比较类似，在此不再详细描述。

针对系统的每个Web页面，或者资源，或者Rest API，用大量肉鸡，发送大量http request。这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。缺点是对付只有静态页面的网站效果会大打折扣。

HTTP协议中规定，HTTP Request以\r\n\r\n结尾来表示客户端发送结束。攻击者打开一个Http 1.1的连接，将Connection设置为Keep-Alive，保持和服务器的TCP长连接。然后始终不发送\r\n\r\n，每隔几分钟写入一些无意义的数据流，拖死机器。

每当网络上出现一个热门事件，比如XX门，精心制作一个种子，里面包含正确的文件下载，同时也包括攻击目标服务器的IP。这样，当很多人下载的时候，会无意中发起对目标服务器的TCP连接。

过滤不必要的服务和端口：可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

异常流量的清洗过滤：通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。

分布式集群防御：这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

高防智能DNS解析：高智能DNS解析系统与DDoS防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的网络保持一个永不宕机的服务状态。

DDoS攻击的网络流量清洗：当发生DDoS攻击时，网络监控系统会侦测到网络流量的异常变化并发出报警。在系统自动检测或人工判断之后，可以识别出被攻击的虚拟机公网IP地址。这时，可调用系统的防DDoS攻击功能接口，启动对相关被攻击IP的流量清洗。流量清洗设备会立即接管对该IP地址的所有数据包，并将攻击数据包清洗掉，仅将正常的数据包转发给随后的网络设备。这样，就能保证整个网络正常的流量通行，而将DDoS流量拒之门外。