【DDos 分布式拒绝服务攻击】

一、定义

攻击者利用恶意程序对一个或多个目标发起攻击，企图通过大规模互联网流量耗尽攻击目标的网络资源，使目标系统无法进行网络连接、无法提供正常服务。

二、类型

1、网络层攻击

网络层DDoS攻击主要目的是消耗网络带宽资源。

①ICMP Flood攻击

攻击者向目标网络发送大量ICMP数据包，目标主机会耗费大量的CPU资源去处理和响应，直至耗尽设备资源，无法为合法用户提供正常服务。

②ARP Flood攻击

攻击者通过发送大量的ARP请求，使有限的网络资源被无用的广播信息所占用造成网络拥堵，而且ARP协议没有安全认证机制，所以只要主机接收到ARP应答包，都会缓存在ARP表中，这为ARP欺骗提供了可能。

③IP分片攻击

攻击者将经过恶意分段的数据包发送至目标网络，导致目标网络耗费大量资源进行重组，直至资源枯竭。

2、传输层攻击

传输层DDoS攻击主要目的是使目标网络设备过载。

①SYN Flood攻击

（1）作用方式
1.攻击者利用TCP协议的三次握手机制，使用工具或控制僵尸主机向服务器发送海量变源IP地址或变源端口的SYN报文，服务器响应报文后产生大量的半连接，直至系统资源被耗尽，服务器无法提供正常的服务。
2.通俗的讲就是：客户端向服务端发送请求链接数据包，服务端随之向客户端发送确认数据包，但客户端不向服务端发送确认数据包，服务器一直等待来自客户端的确认，导致服务端资源被占用。
（2）攻击过程
1.攻击者伪造源IP地址或端口，向服务器发送大量的SYN报文，请求建立TCP连接由于源IP地址或端口是伪造的，服务器发送的SYN-ACK报文永远不会被真实的客户端接收和回应。
2.攻击者有时也会使用真实源IP地址，但只是通过攻击工具发送海量SYN报文，攻击工具并不会响应来自服务器SYN-ACK报文。
3.以上两种方式无论如何服务器都接收不到ACK报文，产生大量半连接，此时服务器需要维持一张巨大的等待列表，不停地重试发送SYN-ACK报文，同时大量的资源无法释放，当服务器被这些恶意的半连接占满时，就不会再响应新的SYN报文，从而导致正常的用户无法建立TCP连接。
（3）防范方法
1.Anti-DDoS系统部署在网络入口处，在服务器之前处理SYN报文，识别出虚假源，屏蔽来自这些地址的报文，只将合法的SYN报文传递给服务器。
2.源认证：Anti-DDoS系统拦截客户端发送的SYN报文，代替服务器向客户端发送SYN-ACK报文，如果客户端不应答，则认为该客户端为虚假源；如果客户端应答，则Anti-DDoS系统认为该客户端为真实源，并将其IP地址加入白名单，在一段时间允许该源发送的所有SYN报文通过，也不做代答。
3.首包丢弃：Anti-DDoS系统会丢弃掉收到的第一个SYN报文，SYN Flood攻击时，黑客发送的绝大多数是变源的SYN报文，所有的SYN报文对于Anti-DDoS系统来说都是首包，将被直接丢弃，如果客户端重传了SYN报文，Anti-DDoS系统再对该报文进行源认证。

②ACK Flood攻击

攻击者通过僵尸网络向目标服务器发送大量的ACK报文，报文带有超大载荷，会引起链路拥塞，或向目标服务器发送极高速率的变源变端口请求，导致转发设备异常，从而引起网络瘫痪。

③UDP Flood攻击

攻击者使用包含无状态UDP协议的IP数据包充塞目标主机端口，受害主机会寻找与UDP数据包相关的应用程序，如果没有找到，就向发送者回发一条目标不可达消息。一旦目标主机被攻击流量淹没，系统就会失去响应，从而造成合法用户无法正常访问的现象。

3、应用层攻击

应用层DDoS攻击主要目的是让真实用户无法正常使用应用程序。

①DNS Flood攻击

攻击者通过操纵大量傀儡机器，对目标网络发起海量域名查询请求，以中断该域的DNS解析。

②HTTP Flood攻击

1.HTTP GET 攻击：攻击者操控多台设备向目标服务器发送对图像、文件或其他资产请求，当目标服务器被传入请求和响应所淹没时，来自正常流量源的业务请求也将被拒绝。
2.HTTP POST 攻击：攻击者利用相对资源消耗的差异，直接向目标服务器发送大量POST请求，直至目标服务器容量饱和并拒绝服务为止。

③CC攻击

攻击者通过代理服务器向目标服务器发送大量貌似合法的请求，使CPU长时间处于高负荷运行状态，永远都有处理不完的连接，攻击会导致正常访问被中止，最终宕机崩溃。