分布式拒絕服務攻擊DDoS是目前黑客經常采用而難以防范的攻擊手段。dos和ddos的原理是什么呢？DoS攻擊由于實現攻擊簡單、容易達到目的、難于防止和追查所以越來越成為常見的攻擊方式。對于企業的網站和服務器傷害是很大的。

　　dos和ddos的原理

　　DDOS原理：單一的DOS攻擊時一對一的方式，當攻擊目標的配置不高時，攻擊效果比較顯著，但是當目標是大型服務器時，如商用服務器等，那么使用一臺電腦攻擊則達不到預定效果，此時使用DDOS攻擊，操作墮胎主機向目標主機發起攻擊，當同時參與攻擊的服務器有足夠數量和性能時，受到攻擊的主機資源就會很快耗盡，無法提供服務。DDOS是實施最快、攻擊能力最強并且破壞性最大的攻擊方式。

　　DDoS是Distributed Denial of Service的簡稱，中文是分布式拒絕服務。這有點拗口吧？這樣，我們先理解下DDoS的前身DoS（Denial of Service），即拒絕服務。最基本的DoS攻擊就是攻擊者利用大量合理的服務請求來占用攻擊目標過多的服務資源，從而使合法用戶無法得到服務的響應。DoS攻擊一般是采用一對一方式的，當攻擊目標各項性能指標不高時（例如CPU速度低、內存小或者網絡帶寬小等等），它的效果是明顯的。

　　隨著計算機與網絡技術的發展，計算機的處理能力與網絡帶寬迅速增長。這使得DoS攻擊的困難程度大大增加了，因為攻擊目標對這些惡意服務請求的“消化能力”加強了很多。既然一個攻擊者無法使目標“拒絕服務”，那么就需要多個攻擊者同時發起分布式攻擊了，這時DDoS攻擊也就應運而生了。DDoS攻擊是指攻擊者控制僵尸網絡中的大量僵尸主機（肉雞）向攻擊目標發送大流量數據，耗盡攻擊目標的系統資源，導致其無法響應正常的服務請求。

　　常見的DOS攻擊分為哪三類？

　　帶寬攻擊、協議攻擊和邏輯攻擊。

　　帶寬攻擊：是最常見的攻擊，攻擊者使用大量的垃圾數據流填充目標的網絡鏈路。攻擊流量可以基于TCP、UDP\ICMP協議的報文。包括UDP洪水攻擊（flooding）、Smurf攻擊和Fraggle攻擊等。

　　（1）UDP洪水指向目標的指定UDP端口發送大量無用UDP報文以占滿目標帶寬;

　　（2）Smurf攻擊指攻擊者偽造并發送大量源ip地址為受害主機ip地址，目標地址為廣播地址的ICMP Echo請求報文;

　　（3）Fraggle攻擊時Smurf的編寫，它使用UDP應答而不是ICMP報文，基于UDP的Chargen或Echo協議實現，他們分別使用DUP端口19和7，當攻擊者向網絡中的所有主機發送目標端口是19或7的UDP求報文時，開始Chargen和Echo服務的主機會發送應答報文給源地址，從而可能造成源地址主機的帶寬被耗盡。

　　協議攻擊：利用網絡協議的設計和實現漏洞進行的攻擊，典型實例包括SYN洪水攻擊、淚滴攻擊（Tear Drop）、死亡之Ping（Ping of Death）和land攻擊等。

　　（1）SYN洪水攻擊：發送大量偽造的TCP連接請求，使得目標主機用于處理三路握手連接的內存資源耗盡，從而停止TCP服務。

　　（2）淚滴攻擊（Tear Drop）：利用IP協議有關切片的實現漏洞，向目標主機發送分成若干不同分片的IP報文，但是不同分片之間有重疊，如果目標系統無法正確識別此類畸形分片，在重組這些分片時容易發生錯誤導致系統崩潰，從而停止服務;

　　（3）死亡之Ping（Ping of Death）：指早期操作系統在實現TCP/IP協議棧時，對報文大小超過64k字節的異常情況沒有處理。超過64k的報文，額外的數據就會被寫入其他內存區域，從而產生一種典型的 緩沖區溢出攻擊。

　　邏輯攻擊：利用目標系統或者服務程序的實現漏洞發起攻擊。

　　以上就是關于dos和ddos的原理的相關介紹，DoS攻擊的原理是借助網絡系統或協議的缺陷以及配置漏洞進行網絡攻擊，單一的DOS攻擊時一對一的方式，當攻擊目標的配置不高時，攻擊效果比較顯著，所以及時做好防護也是十分重要。