分布式拒絕服務攻擊是網絡攻擊中常見的攻擊方式。分布式拒絕服務攻擊(DDoS)是指不同位置的多個攻擊者同時攻擊一個或多個目標，或者一個攻擊者控制不同位置的多臺機器，并使用這些機器同時攻擊受害者。由于攻擊點分布在不同的地方，這種攻擊稱為分布式拒絕服務攻擊，其中可以有多個攻擊者。

1.UDP Flood：UDP協(xié)議是一種無連接服務。在UDP Flood中，攻擊者通常會發(fā)送大量偽造源IP地址的小UDP數(shù)據(jù)包來攻擊DNS服務器、Radius認證服務器和流媒體視頻服務器。10萬bps的UDP Flood經常會癱瘓線路上的骨干設備，比如防火墻，造成整個網段癱瘓。上述傳統(tǒng)流量攻擊方式技術含量低，造成1000人受傷，800人自損。攻擊效果通常取決于被控主機本身的網絡性能，很容易找到攻擊源，因此單獨使用并不常見。于是出現(xiàn)了四兩千磅效果的反射式放大攻擊。

2.CC攻擊：CC攻擊是目前應用層的主要攻擊手段之一，利用代理服務器產生指向目標系統(tǒng)的合法請求，實現(xiàn)偽裝和DDOS。我們都有這樣的經歷。訪問一個靜態(tài)頁面不需要太長時間，即使人很多。但是，如果你訪問論壇、貼吧等。高峰時期會非常慢，因為服務器系統(tǒng)需要去數(shù)據(jù)庫判斷訪客是否有權限看帖子、說話等。訪問量越大，論壇的頁面越多，對數(shù)據(jù)庫的壓力越大，被訪問的頻率越高，占用的系統(tǒng)資源也相當可觀。CC攻擊充分利用了這一特性，模擬很多正常用戶不斷訪問論壇等需要大量數(shù)據(jù)操作的頁面，造成服務器資源的浪費。CPU長時間處于100%，總是有無窮無盡的請求需要處理。網絡擁塞，正常訪問被暫停。這種攻擊技術含量高，看不到真實的源IP和異常流量，而服務器就是無法正常連接。

3.SYN Flood：這是一種利用TCP協(xié)議的缺陷，發(fā)送大量偽造的TCP連接請求，從而使被攻擊方資源耗盡(CPU已滿或內存不足)的攻擊方法。建立TCP連接需要三次握手——客戶端發(fā)送SYN消息，服務器接收請求并返回消息表示接受，客戶端也返回確認完成連接。SYN Flood是指用戶在向服務器發(fā)送消息后突然崩潰或掉線，因此服務器在發(fā)送回復消息后無法收到客戶端的確認消息(第一次三次握手無法完成)。此時，服務器通常會重試并等待一段時間，然后丟棄未完成的連接。服務器的一個線程因為用戶的異常而等待一段時間并不是什么大問題，但是惡意攻擊者大量模擬這種情況，服務器為了維持幾萬個半連接，消耗了大量資源，結果往往忙得顧不上客戶的正常請求，甚至崩潰。從正?？蛻舻慕嵌葋砜矗W站反應遲鈍，無法訪問。

4.DNS Query Flood：作為互聯(lián)網的核心服務之一，DNS也是DDOS攻擊的主要目標。DNS Query Flood使用的方法是操縱大量傀儡機，向目標服務器發(fā)送大量域名解析請求。當服務器收到域名解析請求時，會先查找服務器上是否有對應的緩存，如果找不到且無法直接解析域名，會遞歸向其上層DNS服務器查詢域名信息。通常，攻擊者請求的域名是隨機生成的，或者根本不存在于網絡中。由于在本地找不到相應的結果，服務器必須使用遞歸查詢將解析請求提交給上層域名服務器，造成連鎖反應。解析過程給服務器帶來了很大的負載，當域名解析請求數(shù)超過每秒一定數(shù)量時，DNS服務器就會超時。根據(jù)微軟的統(tǒng)計，一臺DNS服務器可以承受的動態(tài)域名查詢上限是每秒9000個請求。然而，一臺P3 PC每秒可以輕松構造上萬個域名解析請求，足以癱瘓一臺硬件配置極高的DNS服務器，由此可見DNS服務器的脆弱性。

5.ICMP Flood：ICMP(互聯(lián)網控制消息協(xié)議)用于在IP主機和路由器之間傳輸控制消息?？刂葡⒅傅氖蔷W絡本身的消息，比如網絡是否無法通行，主機是否可達，路由是否可用等。雖然它不傳輸用戶數(shù)據(jù)，但它在用戶數(shù)據(jù)傳輸中起著重要的作用。通過向目標系統(tǒng)發(fā)送大量數(shù)據(jù)包，目標主機可能會癱瘓。如果發(fā)送大量數(shù)據(jù)包，將成為洪水攻擊。

6.混合攻擊：實際情況中，攻擊者只想打敗對方。到目前為止，高級攻擊者不再傾向于使用單一的攻擊手段進行戰(zhàn)斗，而是根據(jù)目標系統(tǒng)的具體環(huán)境發(fā)動多種攻擊手段，不僅流量大，而且利用協(xié)議和系統(tǒng)的缺陷盡可能多地發(fā)動攻勢。對于被攻擊的目標，需要面對不同協(xié)議和資源的分布式攻擊，因此分析、響應和處理的成本會大大增加。

7.NTP Flood：NTP是基于UDP協(xié)議傳輸?shù)臉藴示W絡時間同步協(xié)議。由于UDP協(xié)議的無連接特性，偽造源地址非常方便。攻擊者使用特殊數(shù)據(jù)包，即IP地址指向服務器作為反射器，源IP地址偽造為攻擊目標的IP。反射器收到數(shù)據(jù)包時被騙，響應數(shù)據(jù)發(fā)送給被攻擊目標，耗盡了目標網絡的帶寬資源。一般NTP服務器帶寬較大，攻擊者可能僅用1Mbps的上傳帶寬欺騙NTP服務器，可給目標服務器帶來數(shù)十萬Mbps的攻擊流量。因此，反射攻擊可以使用“問答”協(xié)議。通過將質詢數(shù)據(jù)包的地址偽造為目標的地址，所有回復數(shù)據(jù)包都將被發(fā)送到目標。一旦協(xié)議具有遞歸效應，流量就會顯著放大，這可以稱之為“不暢”流量攻擊。有不懂的請咨詢夢飛云idc了解。