分布式拒絕服務 (DDoS) 攻擊是惡意嘗試使用戶無法使用在線服務，通常是通過暫時中斷或暫停其托管服務器的服務。DDoS 攻擊是從許多受感染的設備發起的，這些設備通常分布在全球范圍內，稱為 僵尸網絡。它不同于其他拒絕服務 (DoS) 攻擊，因為它使用單個連接到 Internet 的設備（一個網絡連接）向目標發送惡意流量。這種細微差別是存在這兩個略有不同的定義的主要原因。

從廣義上講，DoS和DDoS攻擊可以分為三種類型：

基于容量的攻擊

包括 UDP 泛洪、ICMP 泛洪和其他欺騙性數據包泛洪。攻擊的目標是使受攻擊站點的帶寬飽和，其大小以每秒位數 (Bps) 衡量。

協議攻擊

包括 SYN 泛洪、碎片包攻擊、Ping of Death、Smurf DDoS 等。這種類型的攻擊會消耗實際的服務器資源，或中間通信設備（例如防火墻和負載平衡器）的資源，并以每秒數據包數 (Pps) 來衡量。

應用程序層攻擊

包括低速和慢速攻擊、GET/POST 泛洪攻擊、針對 Apache、Windows 或 OpenBSD 漏洞的攻擊等。由看似合法且無辜的請求組成，這些攻擊的目標是使 Web 服務器崩潰，其大小以每秒請求數 (Rps) 衡量。

常見的 DDoS 攻擊類型

一些最常用的 DDoS 攻擊類型包括：

UDP泛洪

根據定義，UDP 泛洪是使用用戶數據報協議 (UDP) 數據包泛濫目標的任何 DDoS 攻擊。攻擊的目標是淹沒遠程主機上的隨機端口。這會導致主機重復檢查在該端口偵聽的應用程序，并且（當未找到應用程序時）使用 ICMP“目標無法到達”數據包進行回復。此過程會消耗主機資源，最終導致無法訪問。

ICMP (Ping) 泛洪

原理上與 UDP 泛洪攻擊類似，ICMP 泛洪使用 ICMP 回聲請求 (ping) 數據包淹沒目標資源，通常會盡快發送數據包，而無需等待回復。這種類型的攻擊會消耗傳出和傳入帶寬，因為受害者的服務器通常會嘗試使用 ICMP 回聲回復數據包進行響應，從而導致整體系統速度顯著下降。

同步洪水

SYN 泛洪 DDoS 攻擊利用了 TCP 連接序列中的一個已知弱點（“三次握手”），其中啟動與主機的 TCP 連接的 SYN 請求必須由該主機的 SYN-ACK 響應來回答，并且然后由請求者的 ACK 響應確認。在 SYN 泛洪場景中，請求者發送多個 SYN 請求，但要么不響應主機的 SYN-ACK 響應，要么從欺騙性 IP 地址發送 SYN 請求。無論哪種方式，主機系統都會繼續等待每個請求的確認，綁定資源直到無法建立新連接，最終導致 拒絕服務。

Ping of Death

Ping of Death（“POD”）攻擊涉及攻擊者向計算機發送多個格式錯誤或惡意的 ping。IP 數據包（包括包頭）的最大數據包長度為 65,535 字節。然而，數據鏈路層通常對最大幀大小有限制——例如以太網網絡上的 1500 字節。在這種情況下，一個大的 IP 數據包被拆分成多個 IP 數據包（稱為片段），接收主機將 IP 片段重新組裝成完整的數據包。在Ping of Death 場景中，在對片段內容進行惡意操作之后，接收方最終得到一個重新組合后大于 65,535 字節的 IP 數據包。這可能會溢出為數據包分配的內存緩沖區，從而導致拒絕為合法數據包提供服務。

Slowloris

Slowloris是一種針對性很強的攻擊，它使一個 Web 服務器能夠關閉另一臺服務器，而不會影響目標網絡上的其他服務或端口。Slowloris 通過盡可能長時間地保持與目標 Web 服務器的連接打開來做到這一點。它通過創建到目標服務器的連接來實現這一點，但只發送部分請求。Slowloris 不斷發送更多 HTTP 標頭，但從未完成請求。目標服務器使這些錯誤連接中的每一個保持打開狀態。這最終會溢出最大并發連接池，并導致拒絕來自合法客戶端的額外連接。

NTP放大

在 NTP 放大攻擊中，肇事者利用可公開訪問的網絡時間協議 (NTP) 服務器通過 UDP 流量淹沒目標服務器。該攻擊被定義為放大攻擊，因為在這種情況下，查詢與響應的比率介于 1:20 和 1:200 之間或更高。這意味著任何獲得開放 NTP 服務器列表的攻擊者（例如，通過使用像 Metasploit 這樣的工具或來自開放 NTP 項目的數據）都可以輕松地發起毀滅性的高帶寬、高容量 DDoS 攻擊。

HTTP 洪水

在 HTTP 泛洪 DDoS 攻擊中，攻擊者利用看似合法的 HTTP GET 或 POST 請求來攻擊 Web 服務器或應用程序。HTTP 洪水不使用格式錯誤的數據包、欺騙或反射技術，并且比其他攻擊需要更少的帶寬來摧毀目標站點或服務器。當攻擊迫使服務器或應用程序分配盡可能多的資源以響應每個請求時，攻擊是最有效的。

零日 DDoS 攻擊

“零日”定義涵蓋所有未知或新的攻擊，利用尚未發布補丁的漏洞。該術語在黑客社區的成員中廣為人知，交易零日漏洞的做法已成為一種流行的活動。

DDoS 攻擊背后的動機

根據最近的市場研究，DDoS 攻擊正迅速成為最普遍的網絡威脅類型，在過去一年中在數量和數量上都迅速增長。趨勢是攻擊持續時間更短，但每秒數據包攻擊量更大。

攻擊者的主要動機是：

意識形態——所謂的“黑客行動主義者”使用 DDoS 攻擊作為針對他們在意識形態上不同意的網站的一種手段。

商業爭端——企業可以使用 DDoS 攻擊戰略性地關閉競爭對手的網站，例如，阻止他們參加網絡星期一等重大活動。

無聊——網絡破壞者，又名“腳本小子”，使用預先編寫的腳本來發起 DDoS 攻擊。這些攻擊的肇事者通常很無聊，想成為黑客，尋求刺激。

勒索——犯罪者使用 DDoS 攻擊或 DDoS 攻擊的威脅作為向目標勒索錢財的手段。

網絡戰——政府授權的 DDoS 攻擊可用于削弱反對派網站和敵國的基礎設施。