DoS是Denial of Service的簡寫就是拒絕服務(wù)，而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù)，而DRDoS就是Distributed Reflection Denial of Service的簡寫，這是分布反射式拒絕服務(wù)的意思。

　　不過這3中攻擊方法最厲害的還是DDoS，那個(gè)DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進(jìn)行攻擊的，所以對(duì)它們的防御辦法都是差不多的。

　　DoS攻擊是最早出現(xiàn)的，它的攻擊方法說白了就是單挑，是比誰的機(jī)器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展，一般的網(wǎng)站主機(jī)都有十幾臺(tái)主機(jī)，而且各個(gè)主機(jī)的處理能力、內(nèi)存大小和網(wǎng)絡(luò)速度都有飛速的發(fā)展，有的網(wǎng)絡(luò)帶寬甚至超過了千兆級(jí)別。這樣我們的一對(duì)一單挑式攻擊就沒有什么作用了，搞不好自己的機(jī)子就會(huì)死掉。舉個(gè)這樣的攻擊例子，假如你的機(jī)器每秒能夠發(fā)送10個(gè)攻擊用的數(shù)據(jù)包，而被你攻擊的機(jī)器（性能、網(wǎng)絡(luò)帶寬都是頂尖的）每秒能夠接受并處理100攻擊數(shù)據(jù)包，那樣的話，你的攻擊就什么用處都沒有了，而且非常有死機(jī)的可能。要知道，你若是發(fā)送這種1Vs1的攻擊，你的機(jī)器的CPU占用率是90%以上的，你的機(jī)器要是配置不夠高的話，那你就死定了。

　　不過，科技在發(fā)展，黑客的技術(shù)也在發(fā)展。正所謂道高一尺，魔高一仗。經(jīng)過無數(shù)次當(dāng)機(jī)，黑客們終于又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是群毆，用好多的機(jī)器對(duì)目標(biāo)機(jī)器一起發(fā)動(dòng)DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機(jī)器，他是通過他的機(jī)器在網(wǎng)絡(luò)上占領(lǐng)很多的“肉雞”，并且控制這些“肉雞”來發(fā)動(dòng)DDoS攻擊，要不然怎么叫做分布式呢。還是剛才的那個(gè)例子，你的機(jī)器每秒能發(fā)送10攻擊數(shù)據(jù)包，而被攻擊的機(jī)器每秒能夠接受100的數(shù)據(jù)包，這樣你的攻擊肯定不會(huì)起作用，而你再用10臺(tái)或更多的機(jī)器來對(duì)被攻擊目標(biāo)的機(jī)器進(jìn)行攻擊的話，嘿嘿！結(jié)果我就不說了。

　　DRDoS分布反射式拒絕服務(wù)攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領(lǐng)大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是可以在廣域網(wǎng)上進(jìn)行的，而Smurf攻擊是在局域網(wǎng)進(jìn)行的。它的作用原理是基于廣播地址與回應(yīng)請(qǐng)求的。一臺(tái)計(jì)算機(jī)向另一臺(tái)計(jì)算機(jī)發(fā)送一些特殊的數(shù)據(jù)包如ping請(qǐng)求時(shí)，會(huì)接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請(qǐng)求包，實(shí)際上會(huì)到達(dá)網(wǎng)絡(luò)上所有的計(jì)算機(jī)，這時(shí)就會(huì)得到所有計(jì)算機(jī)的回應(yīng)。這些回應(yīng)是需要被接收的計(jì)算機(jī)處理的，每處理一個(gè)就要占用一份系統(tǒng)資源，如果同時(shí)接到網(wǎng)絡(luò)上所有計(jì)算機(jī)的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己，不過這種方法被黑客加以改進(jìn)就具有很大的威力了。黑客向廣播地址發(fā)送請(qǐng)求包，所有的計(jì)算機(jī)得到請(qǐng)求后，卻不會(huì)把回應(yīng)發(fā)到黑客那里，而是發(fā)到被攻擊主機(jī)。這是因?yàn)楹诳兔俺淞吮还糁鳈C(jī)。黑客發(fā)送請(qǐng)求包所用的軟件是可以偽造源地址的，接到偽造數(shù)據(jù)包的主機(jī)會(huì)根據(jù)源地址把回應(yīng)發(fā)出去，這當(dāng)然就是被攻擊主機(jī)的地址。黑客同時(shí)還會(huì)把發(fā)送請(qǐng)求包的時(shí)間間隔減小，這樣在短時(shí)間能發(fā)出大量的請(qǐng)求包，使被攻擊主機(jī)接到從被欺騙計(jì)算機(jī)那里傳來的洪水般的回應(yīng)，就像遭到了DDoS攻擊導(dǎo)致系統(tǒng)崩潰。駭客借助了網(wǎng)絡(luò)中所有計(jì)算機(jī)來攻擊受害者，而不需要事先去占領(lǐng)這些被欺騙的主機(jī)，這就是Smurf攻擊。而DRDoS攻擊正是這個(gè)原理，黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請(qǐng)求包發(fā)送到那些被欺騙的計(jì)算機(jī)上，根據(jù)TCP三次握手的規(guī)則，這些計(jì)算機(jī)會(huì)向源IP發(fā)出SYN+ACK或RST包來響應(yīng)這個(gè)請(qǐng)求。同Smurf攻擊一樣，黑客所發(fā)送的請(qǐng)求包的源IP地址是被攻擊主機(jī)的地址，這樣受欺騙的主機(jī)就都會(huì)把回應(yīng)發(fā)到被攻擊主機(jī)處，造成被攻擊主機(jī)忙于處理這些回應(yīng)而癱瘓。

　　解釋：

　　SYN：（Synchronize sequence numbers）用來建立連接，在連接請(qǐng)求中，SYN=1，ACK=0，連接響應(yīng)時(shí)，SYN=1，ACK=1。即，SYN和ACK來區(qū)分Connection Request和Connection Accepted。

　　RST：（Reset the connection）用于復(fù)位因某種原因引起出現(xiàn)的錯(cuò)誤連接，也用來拒絕非法數(shù)據(jù)和請(qǐng)求。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。

　　ACK：（Acknowledgment field significant）置1時(shí)表示確認(rèn)號(hào)（Acknowledgment Number）為合法，為0的時(shí)候表示數(shù)據(jù)段不包含確認(rèn)信息，確認(rèn)號(hào)被忽略。

　　TCP三次握手：圖略

　　假設(shè)我們要準(zhǔn)備建立連接，服務(wù)器正處于正常的接聽狀態(tài)。

　　第一步：我們也就是客戶端發(fā)送一個(gè)帶SYN位的請(qǐng)求，向服務(wù)器表示需要連接，假設(shè)請(qǐng)求包的序列號(hào)為10，那么則為：SYN=10，ACK=0，然后等待服務(wù)器的回應(yīng)。

　　第二步：服務(wù)器接收到這樣的請(qǐng)求包后，查看是否在接聽的是指定的端口，如果不是就發(fā)送RST=1回應(yīng)，拒絕建立連接。如果接收請(qǐng)求包，那么服務(wù)器發(fā)送確認(rèn)回應(yīng)，SYN為服務(wù)器的一個(gè)內(nèi)碼，假設(shè)為100，ACK位則是客戶端的請(qǐng)求序號(hào)加1，本例中發(fā)送的數(shù)據(jù)是：SYN=100，ACK=11，用這樣的數(shù)據(jù)回應(yīng)給我們。向我們表示，服務(wù)器連接已經(jīng)準(zhǔn)備好了，等待我們的確認(rèn)。這時(shí)我們接收到回應(yīng)后，分析得到的信息，準(zhǔn)備發(fā)送確認(rèn)連接信號(hào)到服務(wù)器。

　　第三步：我們發(fā)送確認(rèn)建立連接的信息給服務(wù)器。確認(rèn)信息的SYN位是服務(wù)器發(fā)送的ACK位，ACK位是服務(wù)器發(fā)送的SYN位加1。即：SYN=11，ACK=101。

　　這樣我們的連接就建立起來了。

　　DDoS究竟如何攻擊？目前最流行也是最好用的攻擊方法就是使用SYN-Flood進(jìn)行攻擊，SYN-Flood也就是SYN洪水攻擊。SYN-Flood不會(huì)完成TCP三次握手的第三步，也就是不發(fā)送確認(rèn)連接的信息給服務(wù)器。這樣，服務(wù)器無法完成第三次握手，但服務(wù)器不會(huì)立即放棄，服務(wù)器會(huì)不停的重試并等待一定的時(shí)間后放棄這個(gè)未完成的連接，這段時(shí)間叫做SYN timeout，這段時(shí)間大約30秒-2分鐘左右。若是一個(gè)用戶在連接時(shí)出現(xiàn)問題導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么大不了的問題，但是若有人用特殊的軟件大量模擬這種情況，那后果就可想而知了。一個(gè)服務(wù)器若是處理這些大量的半連接信息而消耗大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，這樣服務(wù)器就不會(huì)再有空余去處理普通用戶的正常請(qǐng)求（因?yàn)榭蛻舻恼Ｕ?qǐng)求比率很小）。這樣這個(gè)服務(wù)器就無法工作了，這種攻擊就叫做：SYN-Flood攻擊。

　　一、DDOS攻擊概述

　　● DDOS攻擊的全稱叫作 distribution deny of service（分布式拒絕服務(wù)攻擊）。顧名思義，這種攻擊的方式是控制分布在全世界各個(gè)地方的服務(wù)器，發(fā)出指令，讓這些服務(wù)器同時(shí)攻擊一個(gè)目標(biāo)，使得被攻擊的計(jì)算機(jī)信息系統(tǒng)耗盡網(wǎng)絡(luò)帶寬資源、性能資源，無法正常運(yùn)行或提供服務(wù)。

　　名詞解釋：肉雞

　　● “肉雞”的含義是指被黑客非法侵入并控制的計(jì)算機(jī)信息系統(tǒng)，黑客可以讓肉雞執(zhí)行任意命令，包括攻擊他人服務(wù)器。

?

　　二、攻擊流程

　　攻擊流程分為2個(gè)階段：搜集肉雞和發(fā)動(dòng)攻擊。

　　● 搜集肉雞

　　攻擊者可以通過各種手段搜集肉雞，包括購買他人非法入侵獲得的肉雞、自己實(shí)施入侵并傳播木馬、租賃服務(wù)器和帶寬等。

　　在此過程中，攻擊者必然會(huì)在肉雞上種植木馬，以便統(tǒng)一集中控制和發(fā)動(dòng)攻擊指令。

　　● 發(fā)動(dòng)攻擊

　　攻擊者發(fā)出指令，讓肉雞同時(shí)發(fā)起攻擊，發(fā)送大量攻擊的網(wǎng)絡(luò)數(shù)據(jù)包，耗盡目標(biāo)網(wǎng)絡(luò)帶寬或者其他資源，導(dǎo)致被攻擊目標(biāo)無法提供正常服務(wù)。

　　● 攻擊后果

　　攻擊者可以通過多臺(tái)肉雞同時(shí)發(fā)送大量垃圾數(shù)據(jù)，造成大流量的數(shù)據(jù)包，導(dǎo)致服務(wù)器帶寬耗盡，正常玩家無法發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包，服務(wù)器無法及時(shí)反饋數(shù)據(jù)，游戲運(yùn)營被迫中斷。

　　三、法律依據(jù)

　　DDOS攻擊行為觸犯《中華人民共和國刑法》第二百八十五條、二百八十六條、《中華人民共和國刑法修正案（七）》的相關(guān)法律規(guī)定，具體如下：

　　● 第二百八十五條：

　　違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

　　● 《中華人民共和國刑法修正案（七）》：在刑法第二百八十五條中增加兩款作為第二款、第三款：違反國家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

　　提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

　　● 第二百八十六條：違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。

　　違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。

　　故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。