DDoS(Distributed Denial of Service)，即“分布式拒绝服务”俗称洪水攻击，指利用一批主机对一个或多个目标实施协作式的DOS攻击。它是在拒绝服务DoS(Denial of Service)攻击基础上产生的一种攻击方式，最基本的DoS攻击就是利用大量正常的请求来占用过多的服务资源，使得服务器无法处理其他正常的请求。它囊括了已经出现的各种重要的DOS攻击方法。根据WWW安全FAQ对DDOS的定义:

“一个DDOS攻击使用许多计算机来发动一个并发的DOS攻击来攻击一个或多个目标。使用C/S技术，攻击者能够利用不知情的“同谋”计算机的资源，来成倍的增加DOS攻击的效力。这些被利用的“同谋”计算机作为攻击平台提供服务”。

从DDoS的危害性和攻击行为来看，可以将DDoS攻击划分为以下几种攻击方式：

(1)资源消耗类攻击

资源消耗类攻击往往伴随着庞大的网络流量，主要攻击对象为网络资源，例如内存资源、计算资源、带宽资源等等，通过消耗网络信息系统的资源，使得信息系统无法对正常用户的请求提供服务，严重的情况下甚至可能造成服务器崩溃。资源消耗类是比较典型的DDOS攻击，最具代表性的包括：Syn F100d、Ack F100d、UDP F100d。这类攻击方式的目标很简单，就是通过大量的非法或合法请求消耗正常的带宽和协议栈处理资源的能力，从而达到目标服务端网络无法正常工作的目的。

(2)服务消耗型攻击

与资源消耗类攻击相比而言，服务消耗类攻击不需要庞大的的网络流量，它主要是针对具体服务的特点进行精确定点打击，如web的CC，数据服务的检索，文件服务的下载等。这类攻击往往不是为了拥塞流量通道或协议处理通道，它们的目标是让服务端始终处于处理高消耗型的业务的忙碌状态，进而无法对正常业务进行响应。

(3)反射类攻击

反射攻击也叫放大攻击，该类攻击以UDP协议为主，一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源，从而对目标发起攻击。反射类攻击严格意义上来说不算是攻击的一种，它只是利用某些服务的业务特征来实现用更小的代价发动Flood攻击。

(4)混合型攻击

混合型攻击是上述几种攻击类型混合使用的攻击，混合型在攻击过程中会不断进行探测，及时调整攻击策略，选择最佳的攻击方式。混合型攻击往往伴随着资源消耗型攻击和服务消耗型攻击两种攻击类型特征。

根据阿里云DDoS攻击介绍，常见的DDoS攻击类型有畸形报文、传输层DDoS攻击、DNS DDoS攻击、连接型DDoS攻击、Web应用层DDoS攻击。其中畸形报文主要包括Frag Flood、smurf、StreamFlood、Land Flood、IP畸形报文、TCP畸形报文.UDP畸形报文等；传输层DDoS攻击主要包括Syn Flood、Ack FIood.UDP Flood、ICMP Flood、RstFlood等；DNS DDoS攻击主要包括DNS Request Flood、DNSResponse FlIood、虚假源+真实源DNS Query Flood.权威服务器攻击和Local服务器攻击等；连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击.Loic.Hoic.Slowloris、Pyloris、Xoic等慢速攻击；Web应用层攻击主要是指HTTP Get Flood、HTTP PostFlood、cC等攻击。

(1)攻击发起者发送控制指令到一台已经提前占领的控制服务器上；这台控制服务器通过对网络环境扫描以完成信息收集，并锁定具有脆弱性的僵尸主机。

(2)将木马程序或者恶意软件安装到僵尸网络中的若干台僵尸主机上，再源源不断地把控制信息实时地分发至这些僵尸主机(一般是Linux或者Solaris操作系统的主机)，指挥这些僵尸主机在网络上有针对性地选择一些攻击程序，比如：Trinoo、TFN、TFN2K和Stacheldraht等；

(3)利用这些攻击程序对目标主机发动攻击。

老道的攻击者在占领一台控制服务器的同时，会为自己留好后门，并有选择地从内存中删除某些日志记录或者历史文件，将自己隐藏起来，以此实现长期利用、操纵僵尸主机的目的。其主要的攻击目标有政府机关、企事业单位的门户网站，互联网公司网站以及搜索引擎等。

DDoS的防护系统本质上是一个基于资源较量和规则过滤的智能化系统，现存的主要的防御手段和策略包括：

(1)资源隔离

资源隔离可以看作是用户服务的一堵防护盾，这套防护系统拥有无比强大的数据和流量处理能力，为用户过滤异常的流量和请求。如：针对Syn Flood，防护盾会响应Syn Cookie或Syn Reset认证，通过对数据源的认证，过滤伪造源数据包或发功攻击的攻击，保护服务端不受恶意连接的侵蚀。资源隔离系统主要针对ISo模型的第三层和第四层进行防护^[1]。

(2)用户规则

用户可以基于抗DDoS系统特定的规则，如:流量类型、请求顿率、数据包特征、正常业务之间的延时间隔等

(3)大数据智能分析

基于对海量数据进行分析，进而对合法用户进行模型化，并利用这些指纹特征，如:HTTP模型特征、数据来源、请求源等

(4)资源对抗

即用更多的服务器和带宽资源硬抗攻击

(1)控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端

(2)肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点

(3)反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务(如DNS服务器，NTP服务器等)，不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。

(4)跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

(5)本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备^[2]。

(1)重大经济损失

在遭受DDoS攻击后，源站服务器可能无法提供服务，导致用户无法访问业务，从而造成巨大的经济损失和品牌损失。例如：某电商平台在遭受DDoS攻击时，网站无法正常访问甚至出现短暂的关闭，导致合法用户无法下单购买商品等。

(2)数据泄露

服务器被DDoS攻击时，可能会趁机窃取业务的核心数据。

(3)恶意竞争

部分行业存在恶性竞争，竞争对手可能会通过DDoS攻击恶意攻击网站服务，从而在行业竞争中获取优势。

参考来源：

[1]涂伟阳.SDN网络架构下基于网络异常行为的DDoS攻击检测方法研究[D].湖北:华中师范大学，2021.

[2] 国家计算机网络应急技术处理协调中心：我国DDoS攻击资源分析报告(2021年第4季度)(22页).pdf

DDoS攻击相关报告

腾讯安全：2021年全球DDoS威胁报告（37页）.pdf

腾讯安全&；电信安全：2022年上半年DDoS攻击威胁报告（32页）.pdf

精品游戏兴起阿里云上DDoS最佳实践-原生一体化云安全论坛（22页）.pdf

AWA在线研讨会：Angry Birds等游戏DDoS防护和安全策略的云上最佳实践（56页）.pdf

FreeBuf&；云鼎实验室：2018深渊背后的真相之DDoS威胁与黑灰产业调查报告（47页）.pdf

亿渡数据：2022年中国网络安全行业白皮书（61页）.pdf