在互聯(lián)網(wǎng)時(shí)代網(wǎng)站最頭痛的就是被攻擊，常見DDOS攻擊方式有很多。DDOS是目前最強(qiáng)大，也是最難防御的攻擊方式之一。所以不少用戶在受到DDOS攻擊的時(shí)候就不知道要怎么辦。今天我們就一起來(lái)學(xué)習(xí)下關(guān)于什么是DDOS攻擊的相關(guān)知識(shí)。

　　DDOS攻擊方式

　　1、SYN Flood攻擊

　　是當(dāng)前網(wǎng)絡(luò)上最為常見的DDOS攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷。通過(guò)向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問(wèn)。

　　2、UDP Flood攻擊

　　屬于日漸猖獗的流量型DDOS攻擊，原理也很簡(jiǎn)單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或者Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDPFlood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。

　　3、ICMP Flood攻擊

　　屬于流量型的攻擊方式，是利用大的流量給服務(wù)器帶來(lái)較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過(guò)濾ICMP報(bào)文。因此ICMPFlood出現(xiàn)的頻度較低。

　　4、Connection Flood攻擊

　　是典型的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊的原理是利用真實(shí)的IP地址向服務(wù)器發(fā)起大量的連接。并且建立連接之后很長(zhǎng)時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器上殘余連接過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)其他客戶所發(fā)起的鏈接。

　　5、HTTP Get攻擊

　　主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用。它可以繞過(guò)普通的防火墻防護(hù)，通過(guò)Proxy代理實(shí)施攻擊，缺點(diǎn)是攻擊靜態(tài)頁(yè)面的網(wǎng)站效果不佳，會(huì)暴露攻擊者的lP地址。

　　6、UDP DNS Query Flood攻擊

　　采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求，通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

　　什么是DDOS攻擊?

　　DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡(jiǎn)寫就是拒絕服務(wù)，而DDoS就是Distributed Denial of Service的簡(jiǎn)寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡(jiǎn)寫,這是分布反射式拒絕服務(wù)的意思。

　　不過(guò)這3中攻擊方法最厲害的還是DDoS，那個(gè)DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進(jìn)行攻擊的，所以對(duì)它們的防御辦法都是差不多的。

　　DoS攻擊是最早出現(xiàn)的，它的攻擊方法說(shuō)白了就是單挑，是比誰(shuí)的機(jī)器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展，一般的網(wǎng)站主機(jī)都有十幾臺(tái)主機(jī)，而且各個(gè)主機(jī)的處理能力、內(nèi)存大小和網(wǎng)絡(luò)速度都有飛速的發(fā)展，有的網(wǎng)絡(luò)帶寬甚至超過(guò)了千兆級(jí)別。這樣我們的一對(duì)一單挑式攻擊就沒有什么作用了，搞不好自己的機(jī)子就會(huì)死掉。舉個(gè)這樣的攻擊例子，假如你的機(jī)器每秒能夠發(fā)送10個(gè)攻擊用的數(shù)據(jù)包，而被你攻擊的機(jī)器(性能、網(wǎng)絡(luò)帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包，那樣的話，你的攻擊就什么用處都沒有了，而且非常有死機(jī)的可能。要知道，你若是發(fā)送這種1Vs1的攻擊，你的機(jī)器的CPU占用率是90%以上的，你的機(jī)器要是配置不夠高的話，那你就死定了。

　　不過(guò)，科技在發(fā)展，黑客的技術(shù)也在發(fā)展。正所謂道高一尺，魔高一仗。經(jīng)過(guò)無(wú)數(shù)次當(dāng)機(jī)，黑客們終于又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說(shuō)白了就是群毆，用好多的機(jī)器對(duì)目標(biāo)機(jī)器一起發(fā)動(dòng)DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來(lái)操作的。這名黑客不是擁有很多機(jī)器，他是通過(guò)他的機(jī)器在網(wǎng)絡(luò)上占領(lǐng)很多的“肉雞”，并且控制這些“肉雞”來(lái)發(fā)動(dòng)DDoS攻擊，要不然怎么叫做分布式呢。還是剛才的那個(gè)例子，你的機(jī)器每秒能發(fā)送10攻擊數(shù)據(jù)包，而被攻擊的機(jī)器每秒能夠接受100的數(shù)據(jù)包，這樣你的攻擊肯定不會(huì)起作用，而你再用10臺(tái)或更多的機(jī)器來(lái)對(duì)被攻擊目標(biāo)的機(jī)器進(jìn)行攻擊的話，嘿嘿!結(jié)果我就不說(shuō)了。

　　DRDoS分布反射式拒絕服務(wù)攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領(lǐng)大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近，不過(guò)DRDoS是可以在廣域網(wǎng)上進(jìn)行的，而Smurf攻擊是在局域網(wǎng)進(jìn)行的。它的作用原理是基于廣播地址與回應(yīng)請(qǐng)求的。一臺(tái)計(jì)算機(jī)向另一臺(tái)計(jì)算機(jī)發(fā)送一些特殊的數(shù)據(jù)包如ping請(qǐng)求時(shí)，會(huì)接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請(qǐng)求包，實(shí)際上會(huì)到達(dá)網(wǎng)絡(luò)上所有的計(jì)算機(jī)，這時(shí)就會(huì)得到所有計(jì)算機(jī)的回應(yīng)。這些回應(yīng)是需要被接收的計(jì)算機(jī)處理的，每處理一個(gè)就要占用一份系統(tǒng)資源，如果同時(shí)接到網(wǎng)絡(luò)上所有計(jì)算機(jī)的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。

　　不過(guò)是沒有人笨到自己攻擊自己，不過(guò)這種方法被黑客加以改進(jìn)就具有很大的威力了。黑客向廣播地址發(fā)送請(qǐng)求包，所有的計(jì)算機(jī)得到請(qǐng)求后，卻不會(huì)把回應(yīng)發(fā)到黑客那里，而是發(fā)到被攻擊主機(jī)。這是因?yàn)楹诳兔俺淞吮还糁鳈C(jī)。黑客發(fā)送請(qǐng)求包所用的軟件是可以偽造源地址的，接到偽造數(shù)據(jù)包的主機(jī)會(huì)根據(jù)源地址把回應(yīng)發(fā)出去，這當(dāng)然就是被攻擊主機(jī)的地址。黑客同時(shí)還會(huì)把發(fā)送請(qǐng)求包的時(shí)間間隔減小，這樣在短時(shí)間能發(fā)出大量的請(qǐng)求包，使被攻擊主機(jī)接到從被欺騙計(jì)算機(jī)那里傳來(lái)的洪水般的回應(yīng)，就像遭到了DDoS攻擊導(dǎo)致系統(tǒng)崩潰。

　　ddos攻擊隨著技術(shù)的發(fā)現(xiàn)也在不斷更新，DDOS攻擊方式也在變化。不過(guò)隨著科技的進(jìn)步，類似DDOS攻擊這樣一對(duì)一的攻擊很容易防御。所以在面對(duì)不同類型的DDOS攻擊也應(yīng)該做出不同的應(yīng)對(duì)措施。