Dos与DDOS攻击原理与攻击方式，防ddos一些手段，让黑客无从下手

作者/来源：新睿云小编发布时间：2019-06-14

分布式拒绝服务(DDoS)攻击是恶意尝试使用户无法使用的在线服务，通常会造成临时中断或暂停其宿主服务器的服务。

DDoS攻击是从许多受威胁的设备发起的，通常是在全球范围内被称为僵尸网络。它不同于其他拒绝服务(DoS)攻击，它使用一个连接到Internet的设备将恶意流量淹没目标。这种细微差别是这两种不同定义存在的主要原因。

ddos1

总的来说，DoS和DDoS攻击可分为三类：

基于传输过程的攻击

包括UDP、ICMP和其他欺骗性质的数据包。攻击的目标是使受攻击站点的带宽饱和。

协议攻击

包括SYN协议，碎片化数据包攻击，蓝精灵DDoS等。这种类型的攻击消耗实际的服务器资源或中间通信设备(如防火墙和负载平衡器)的资源，并以每秒数据包(PPS)为单位进行攻击。

应用层攻击

包括低速攻击、GET/POST攻击、针对Apache、Windows或OpenBSD漏洞的攻击等等。这些攻击由看似合法的请求组成，目的是使Web服务器崩溃，其大小以每秒请求(Request/秒，RPS)来衡量。

常见DDoS攻击类型

一些最常用的DDoS攻击类型包括：

UDP协议

UDP协议，顾名思义，是用户数据报协议(UDP)数据包淹没目标的服务器。攻击的目的是淹没远程主机上的随机端口。这会导致主机重复检查在该端口监听的应用程序，并使用ICMP‘目的地不可达’数据包进行应答。此过程占用主机资源，最终可能导致不可能进行链接访问。

ICMP协议

与UDP协议攻击类似，ICMP淹没目标资源时，ICMP回波请求(Ping)数据包会淹没目标资源，通常不等待回复就尽可能快地发送数据包。这种类型的攻击可以消耗传出和传入的带宽，因为受害者的服务器通常会尝试使用ICMP Echo回复数据包进行响应，从而导致整个系统的严重减速。

SYN

SYN为主的DDoS攻击利用TCP连接序列中已知的弱点(“三方握手”)，其中一个SYN请求启动与主机的TCP连接必须由该主机的SYN-ACK响应应答，然后由请求者的ACK响应确认。在SYN泛滥场景中，请求者发送多个SYN请求，但要么不响应主机的SYN-ACK响应，要么从伪造的IP地址发送SYN请求。无论哪种方式，主机系统都会继续等待每个请求的确认，绑定资源，直到无法建立新的连接，并最终导致拒绝服务.

POD

ping of Death(“POD”)攻击涉及攻击者向计算机发送多个格式错误或恶意的ping。IP分组(包括报头)的最大分组长度为65，535字节。然而，数据链路层通常会限制最大帧大小-例如，通过以太网网络的1500个字节。在这种情况下，一个大的IP数据包被分割成多个IP包(称为片段)，并且接收方主机将IP碎片重新组合成完整的数据包。在对片段内容进行恶意操作之后，接收方在重新组装时得到一个大于65，535字节的IP数据包。这会使分配给数据包的内存缓冲区溢出，从而导致合法数据包的拒绝服务。

Slowloris

Slowloris是一种高度针对性的攻击，使一个Web服务器能够摧毁另一个服务器，而不会影响目标网络上的其他服务或端口。Slowloris通过尽可能长的时间保持与目标Web服务器的连接来做到这一点。它通过创建到目标服务器的连接来实现这一点，但只发送部分请求。Slowloris不断发送更多HTTP报头，但从未完成请求。目标服务器将这些错误连接中的每一个保持打开。这最终会溢出最大并发连接池，并导致拒绝来自合法客户端的其他连接。

NTP扩增

在NTP放大攻击中，行为人利用公开访问的网络时间协议(NTP)服务器，用UDP通信量压倒目标服务器。攻击被定义为一种放大攻击，因为在这种情况下，查询与响应的比率在1：20到1：200之间或更多。这意味着，任何攻击者如果获得打开的NTP服务器列表(例如，通过Metasploit之类的使用工具或OpenNTP项目中的数据)，都可以很容易地产生破坏性的高带宽、高容量的DDoS攻击。

http Flood

HTTP协议在DDoS攻击中，攻击者利用看似合法的HTTP中GET或POST请求攻击Web服务器或应用程序。HTTP协议不使用格式错误的数据包、欺骗或反射技术，并且需要比其他攻击更少的带宽来摧毁目标站点或服务器。当攻击迫使服务器或应用程序根据每个请求分配尽可能多的资源时，攻击是最有效的。

ddos攻击2