声明：网络并非法外之地，网络攻击是违法犯罪行为，本文不含任何的攻击教学内容。

一、DDoS攻击介绍

1.DoS攻击

        DoS（Denial of Service）拒绝服务攻击，DoS攻击是通过占用网络资源，使服务器应接不暇，从而拒绝正常用户访问的网络攻击方式，同时兼具经济，效果好和难以防御的特点。

        历史上第一次DoS攻击发生于1996年，美国互联网服务提供商Panix遭受到SYN洪水攻击（DDoS的一种）。虽然DoS攻击已经存在多年，但如今仍缺乏有效的防御手段.

2.DDoS攻击与僵尸网络

        僵尸网络是由大量被感染的设备组成的网络，这些设备被称为“僵尸”。攻击者通过木马，蠕虫等手段，在用户不知情的情况下将恶意程序植入用户设备，使其成为僵尸网络中的一员。僵尸网络设备分布广泛，使得攻击看起来像是正常合法用户，因而具有隐蔽性。

        DDoS攻击（Distributed Denial of Service），即分布式拒绝攻击。DDoS攻击便是通过僵尸网络，控制这些散布在全球各地的设备，向目标发起大量的Dos攻击，产生大规模流量，迅速消耗目标服务器带宽和处理能力。

3.DDoS攻击的常见方式

信息在互联网的传输需要经过以下层面

        而这里的每一个环节，都可以作为攻击的方式，如互联网层的ICMP洪水攻击，传输层的TCP洪水攻击、UDP洪水攻击，应用层的HTTP洪水攻击。

        其中最简单的ICMP洪水攻击（ping flood）便是通过ping来实现的。

        TCP洪水攻击，便是利用TCP协议中的第二次握手，在发送SNK包后，不再传回ACK包，这样目标服务器便会不断的发送SNK-ACK包。但是这样做有一个缺点，SNK-ACK包会不断的传回攻击者的设备，这样往往杀敌一百自损一千，所以实际上往往会通过伪造IP的方式规避。

        除此之外还有反射攻击，放大攻击等方式，感兴趣的可以自行了解。

 

二、DDoS攻击的防御措施

1.网络设备IP过滤

DDoS攻击是基于伪造IP地址的攻击手段。所以我们只需要把源地址IP不属于本路由所在网段的数据都过滤掉，这样伪造IP的流量便无法发出。

2.分布式过滤

假如，设备甲伪造为IP丙向乙发送数据。我们知道，一段数据从IP丙到到乙，不可能经过路由A，而这个伪造IP的数据从丙到乙却经过了A，这就产生了矛盾。只要过滤这中有矛盾的数据，就可以识别出伪造IP的设备

3.CDN技术

将一些静态资源发给CDN缓存节点，用户请求时从最近的CDN节点返回，这能缓解DDoS攻击。

4.流量清洗

这需要通过专门公司的流量清洗设备，SYN包首先经过流量清洗设备，由流量清洗设备返回SYN+ACK，如果对方在超时时间内没有回答，则会断开连接。如果对方回答，则转交给后方的服务器。流量清洗的服务商也会建立IP信用库，根据多年流量清洗的积累，屏蔽一些风险IP。

三、结语

DDoS作为一种历史悠久，破坏力强的攻击手段，至今也没有较好的解决手段，我们能做的只有保持警惕。