一、為何要DDoS?
 
　　隨著Internet互聯網路頻寬的增加和多種DDoS駭客工具的不斷發佈，DDoS阻斷服務攻擊的實施越來越容易，DDoS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素，導致很多IDC託管機房、商業站點、遊戲伺服器、聊天網路等網路服務商長期以來一直被DDoS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題，因此，解決DDoS攻擊問題成為網路服務商必須考慮的頭等大事。
 
二、什麼是DDoS?
 
　　DDoS是英文Distributed Denial of Service的縮寫，意即“分佈式阻斷服務”，那麼什麼又是阻斷服務(Denial of Service)呢?可以這麼理解，凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是阻斷服務攻擊。也就是說阻斷服務攻擊的目的非常明確，就是要阻止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是阻斷服務攻擊，但是DDoS和DOS還是有所不同，DDoS的攻擊策略側重於通過很多“殭屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致阻斷服務，分佈式阻斷服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，阻斷服務攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路暫失效、系統崩潰、主機死機而無法提供正常的網路服務功能，從而造成阻斷服務，常見的DOS攻擊手段有TearDrop 、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種阻斷服務攻擊而言，危害較大的主要是DDoS攻擊，原因是很難防範，至於DOS攻擊，通過給主機伺服器打修補程式或安裝防火牆軟體就可以很好地防範，後文會詳細介紹怎麼對付DDoS攻擊。
 
三、被DDoS了嗎?
 
　　DDoS的表現形式主要有兩種，一種為流量攻擊，主要是針對網路頻寬的攻擊，即大量攻擊包導致網路頻寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的記憶體被耗盡或CPU被內核及應用程序佔完而造成無法提供網路服務。
 
　　如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務端口來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現像是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。
 
　　相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現像是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實頻寬還是有的，否則就Ping不通接在同一交換機上的主機了。
 
當前主要有三種流行的DDoS攻擊：
 
　　1、SYN/ACK Flood攻擊：這種攻擊方法是經典最有效的DDoS方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成阻斷服務，由於源都是偽造的故追踪起來比較困難，缺點是實施起來有一定難度，需要高頻寬的殭屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和鼠標。普通防火牆大多無法抵禦此種攻擊。
 
　　2、TCP全連接攻擊：這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序(如：IIS、Apache等Web伺服器)能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多殭屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的記憶體等資源被耗盡而被拖跨，從而造成阻斷服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍主機的IP是暴露的，因此容易被追踪。
 
　　3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和頻寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數據庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鐘就會把伺服器資源消耗掉而導致阻斷服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕鬆找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。

文章出處