DDOS攻擊指分布式拒絕服務攻擊，即處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個。DDOS攻擊有以下幾種方式。

SYN Flood攻擊

SYN Flood攻擊是當前網絡上最為常見的DDos攻擊，也是最為經典的拒絕服務攻擊，它利用了TCP協議實現上的一個缺陷，通過向網絡服務所在端口發送大量的偽造源地址的半連接請求，造成目標服務器中的半連接隊列被占滿，耗費CPU和內存資源，使服務器超負荷，從而阻止其他合法用戶進行訪問。這種攻擊早在1996年就被發現，但至今仍然顯示出強大的生命力，可謂“長生不老”。很多操作系統，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。

TCP全連接攻擊

這種攻擊是為了繞過常規防火墻的檢查而設計的，一般情況下，常規防火墻大多具備syn cookies或者syn proxy能力，能夠有效應對偽造的IP攻擊，但對于正常的TCP連接是放過的。但殊不知很多網絡服務程序能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，正所謂“多情總被無情傷”。TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接，直到服務器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的。

TCP混亂數據包攻擊

TCP混亂數據包攻擊與Syn Flood攻擊類似，發送偽造源IP的TCP數據包，只不過TCP頭的TCP Flags部分是混亂的，可能是syn,ack,syn+ack,syn+rst等等，會造成一些防護設備處理錯誤鎖死，消耗服務器CPU內存的同時還會堵塞帶寬，在迷惑對手的時候施展最后的致命一擊。

UDP Flood攻擊

UDP Flood是日漸猖獗的流量型DOS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k PPS的UDP Flood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。由于UDP協議是一種無連接的服務，在UDP FLOOD攻擊中，攻擊者可發送大量偽造源IP地址的小UDP包。但是，由于UDP協議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那么就可針對相關的服務進行攻擊。

DNS Flood攻擊

UDP DNS Query Flood攻擊實質上是UDP Flood的一種，但是由于DNS服務器的不可替代的關鍵作用，一旦服務器癱瘓，影響一般都很大。UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務器發送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網絡世界上根本不存在的域名，被攻擊的DNS服務器在接收到域名解析請求的時候首先會在服務器上查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，DNS服務器會向其上層DNS服務器遞歸查詢域名信息。根據微軟的統計數據，一臺DNS服務器所能承受的動態域名查詢的上限是每秒鐘9000個請求。而我們知道，在一臺PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務器癱瘓，由此可見DNS服務器的脆弱性。

CC攻擊

CC攻擊(Challenge Collapsar)是DDOS攻擊的一種，是利用不斷對網站發送連接請求致使形成拒絕服務的攻擊。相比其它的DDOS攻擊，CC攻擊是應用層的，主要針對網站。CC主要是用來攻擊頁面的，CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的連接直至就網絡擁塞，正常的訪問被中止。

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用MSSQL Server、MySQLServer、Oracle等數據庫的網站系統而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

審核編輯 黃宇