DDOS是英文Distributed Denial of Service的縮寫(xiě)，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導致合法用戶(hù)不能夠訪(fǎng)問(wèn)正常網(wǎng)絡(luò )服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶(hù)對正常網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過(guò)很多“僵尸主機”（被攻擊者入侵過(guò)或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò )包，從而造成網(wǎng)絡(luò )阻塞或服務(wù)器資源耗盡而導致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò )包就會(huì )猶如洪水般涌向受害主機，從而把合法用戶(hù)的網(wǎng)絡(luò )包淹沒(méi)，導致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò )資源，因此，拒絕服務(wù)攻擊又被稱(chēng)之為“洪水式攻擊”，常見(jiàn)的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重于通過(guò)對主機特定漏洞的利用攻擊導致網(wǎng)絡(luò )棧失效、系統崩潰、主機死機而無(wú)法提供正常的網(wǎng)絡(luò )服務(wù)功能，從而造成拒絕服務(wù)，常見(jiàn)的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范，至于DOS攻擊，通過(guò)給主機服務(wù)器打補丁或安裝防火墻軟件就可以很好地防范，后文會(huì )詳細介紹怎么對付DDOS攻擊

當前主要有三種流行的DDOS攻擊：

a. SYN/ACK Flood攻擊：這種攻擊方法是最有效的DDOS方法，可通殺各種系統的網(wǎng)絡(luò )服務(wù)，主要是通過(guò)向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務(wù)，由于源都是偽造的故追蹤起來(lái)比較困難，缺點(diǎn)是實(shí)施起來(lái)有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會(huì )導致主機服務(wù)器無(wú)法訪(fǎng)問(wèn)，但卻可以Ping的通，在服務(wù)器上用Netstat -na命令會(huì )觀(guān)察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會(huì )導致Ping失敗、TCP/IP棧失效，并會(huì )出現系統凝固現象，即不響應鍵盤(pán)和鼠標。普通防火墻大多無(wú)法抵御此種攻擊。

b. TCP全連接攻擊：這種攻擊是為了繞過(guò)常規防火墻的檢查而設計的，一般情況下，常規防火墻大多具備過(guò)濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過(guò)的，殊不知很多網(wǎng)絡(luò )服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì )導致網(wǎng)站訪(fǎng)問(wèn)非常緩慢甚至無(wú)法訪(fǎng)問(wèn)，TCP全連接攻擊就是通過(guò)許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器因內存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護而達到攻擊目的，缺點(diǎn)是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

c. 刷Script腳本攻擊：這種攻擊主要是針對存在A(yíng)SP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數據庫的網(wǎng)站系統而設計的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢(xún)、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。一般來(lái)說(shuō)，提交一個(gè)GET或POST指令對客戶(hù)端的耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄，這種處理過(guò)程對資源的耗費是很大的，常見(jiàn)的數據庫服務(wù)器很少能支持數百個(gè)查詢(xún)指令同時(shí)執行，而這對于客戶(hù)端來(lái)說(shuō)卻是輕而易舉的，因此攻擊者只需通過(guò)Proxy代理向主機服務(wù)器大量遞交查詢(xún)指令，只需數分鐘就會(huì )把服務(wù)器資源消耗掉而導致拒絕服務(wù)，常見(jiàn)的現象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì )大打折扣，并且有些Proxy會(huì )暴露攻擊者的IP地址。