DDoS攻擊是一種常見的網絡安全威脅，今天快快網絡小編要給大家講解下DDoS的原理及危害。DDoS攻擊的危害非常大，可以造成嚴重的經濟損失和聲譽風險，因此企業和組織需要采取各種措施來防范和應對此類攻擊。

　　DDoS的原理及危害

　　DDoS:拒絕服務攻擊的目標大多采用包括以SYNFlood和PingFlood為主的技術，其主要方式是通過使關鍵系統資源過載，如目標網站的通信端口與記憶緩沖區溢出，導致網絡或服務器的資源被大量占用，甚至造成網絡或服務器的全面癱瘓，而達到阻止合法信息上鏈接服務要求的接收。形象的解釋是，DDoS攻擊就好比電話點歌的時候，從各個角落在同一時間有大量的電話掛入點播臺，而點播臺的服務能力有限，這時出現的現象就是打電話的人只能聽到電話忙音，意味著點播臺無法為聽眾提供服務。這種類型的襲擊日趨增多，因為實施這種攻擊的方法與程序源代碼現已在黑客網站上公開。另外，這種襲擊方法非常難以追查，因為他們運用了諸如IP地址欺騙法之類所謂網上的“隱身技術”，而且現在互聯網服務供應商（ISP）的過剩，也使作惡者很容易得到IP地址。

　　拒絕服務攻擊的一個最具代表性的攻擊方式是分布式拒絕服務攻擊（DistributedDenialofService，DDoS），它是一種令眾多的互聯網服務提供商和各國政府非常頭疼的黑客攻擊方法，最早出現于1999年夏天，當時還只是在黑客站點上進行的一種理論上的探討。從2000年2月開始，這種攻擊方法開始大行其道，在2月7日到11日的短短幾天內，黑客連續攻擊了包括Yahoo，Buy.com，eBay，Amazon，CNN等許多知名網站，致使有的站點停止服務達幾個小時甚至幾十個小時之久。國內的新浪等站點也遭到同樣的攻擊，這次的攻擊浪潮在媒體上造成了巨大的影響，以至于美國總統都不得不親自過問。

　　分布式拒絕服務攻擊采用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標。從而導致目標癱瘓。目前所使用的入侵監測和過濾方法對這種類型的入侵都不起作用。所以，對這種攻擊還不能做到完全防止。

　　DDoS通常采用一種跳臺式三層結構。如圖10—7所示：圖10—7最下層是攻擊的執行者。這一層由許多網絡主機構成，其中包括Unix，Linux，Mac等各種各樣的操作系統。攻擊者通過各種辦法獲得主機的登錄權限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內置了上面一層的某一個或某幾個攻擊服務器的地址，其攻擊行為受到攻擊服務器的直接控制。

　　一個企業的網上服務即使沒有遭到拒絕服務的攻擊，它還會面臨另外一種風險，即成為攻擊者的跳臺的危險。在實際發生的大規模拒絕服務攻擊的案例當中，往往是那些網絡安全管理不嚴格的企業或組織的系統，被黑客侵入，在系統內被植入攻擊時使用的黑客程序。而攻擊犯罪發生以后，由于黑客的消蹤滅跡的手段很高明，所以最后被偵破機關追索到的攻擊源往往是那些成為攻擊跳臺的網絡。雖然，企業本身沒有遭到損失，但是由于成為攻擊跳臺，而帶來的合作伙伴的疑慮和商業信用的損失卻是無法估計的。

　　什么是DDoS流量攻擊

　　DDoS流量攻擊全稱：Distributed denial of service attack，中文翻譯為分布式拒絕服務攻擊，根據首字母簡稱為DDoS，因為DDoS流量攻擊來勢兇猛，持續不斷，連綿不絕，因此在中國又叫洪水攻擊。DDoS流量攻擊是目前網絡上最常見的手段，主要是公共分布式合理服務請求來昂被攻擊者的服務器資源消耗殆盡，導致服務器服務提供正常的服務，這種方式說白了就是增大服務器的訪問量，使其過載而導致服務器崩潰或者癱瘓。好比雙十一期間大量的用戶使用淘寶，使用的人數過多導致淘寶無法快速運轉，并且出現頁面癱瘓的情況。

　　DDoS流量攻擊，可以分為，帶寬消耗型和資源消耗型兩種大的層次，從網絡占用到目標硬件性能占用，以達到目標服務器網絡癱瘓、系統崩潰的最終目的。下面為大家列舉一些比較常用的DDoS流量攻擊的方式。

　　死亡之PING即是ping of death，或者叫做死亡之平，也被翻譯為死亡天平，這種攻擊方式主要以通過TCP/IP協議進行DDoS流量攻擊，這種類型的攻擊方式主要是通過向服務器發送數據包片段大小超過TCP/IP協議的規定大小的數據包，讓服務器系統無法正常進行處理從而導致崩潰，而這些數據包最大字節為6,5535字節。

　　CC(Challenge Collapsar)，意為挑戰黑洞，利用大量的肉雞(免費代理服務器)向目標服務器發送大量看似合法的的請求，從而不斷利用被攻擊服務器的資源進行重來這邊請求，讓其資源不斷被消耗，當服務器的資源被消耗殆盡用戶就無法正常訪問服務器獲取服務器的響應，在cc攻擊過程中，能夠感覺到服務器的穩定性在不斷的變差直至服務器癱瘓。應。

　　UDP：用戶數據包協議(User Datagram Protocol floods)，一種無連接協議，主要是通過信息交換過程中的握手原則來實現攻擊，當通通過UDP發送數據時，三次的數據握手驗證無法正常進行，導致大量數據包發送給目標系統時無法進行正常的握手驗證，從而導致帶寬被占滿而無法讓正常用戶進行訪問，導致服務器癱瘓或者崩潰。

　　以上就是關于DDoS的原理及危害，在DDoS攻擊中，攻擊者使用分布式的攻擊機器向目標設備發起攻擊，這樣攻擊的威力就更大了。所以企業要及時做好相應的防御措施，在面對ddos攻擊的時候才不會束手無策。