一、DDoS攻擊的工作原理

2)有安全漏洞的主機并獲取控制權；

如圖1所示，一個比較完善的DDos攻擊體系分成四大部分，美國服務器租用，分別是攻擊者( attacker也可以稱為master)、控制傀儡機( handler)、攻擊傀儡機( demon，又可稱agent)和受害著( victim)。第2和第3部分，分別用做控制和實際發起攻擊。第2部分的控制機只發布令而不參與實際的攻擊，第3部分攻擊傀儡機上發出DDoS的實際攻擊包。對第2和第3部分計算機，攻擊者有控制權或者是部分的控制權，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發現。在平時，這些傀儡機器并沒有什么異常，只是一旦攻擊者連接到它們進行控制，并發出指令的時候，攻擊愧儡機就成為攻擊者去發起攻擊了。

2.1 DDoS表現形式

四、DDoS的防護策略

攻擊流程如圖2所示，正常TCP連接為3次握手，系統B向系統A發送完 SYN/ACK分組后，停在 SYN RECV狀態，等待系統A返回ACK分組；此時系統B已經為準備建立該連接分配了資源，若攻擊者系統A，使用偽造源IP，系統B始終處于“半連接”等待狀態，直至超時將該連接從連接隊列中清除；因定時器設置及連接隊列滿等原因，系統A在很短時間內，只要持續高速發送偽造源IP的連接請求至系統B，便可成功攻擊系統B，而系統B己不能相應其他正常連接請求。

DDoS的防護是個系統工程，想僅僅依靠某種系統或產品防住DDoS是不現實的，可以肯定的說，完全杜絕DDoS目前是不可能的，但通過適當的措施抵御大多數的DDoS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當的辦法增強了抵御DDoS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數攻擊者將無法繼續下去而放棄，也就相當于成功的抵御了DDoS攻擊。

DDoS ( Denial of Service，分布式拒絕服務) 攻擊的主要目的是讓指定目標無注提供正常服務，甚至從互聯網上消失，是目前最強大、最難防御的攻擊方式之一。

2.2 攻擊識別

1.2   DDoS的攻擊原理

之所以采用這樣的結構，一個重要目的是隔離網絡聯系，保護攻擊者，使其不會在攻擊進行時受到監控系統的跟蹤。同時也能夠更好地協調進攻，因為攻擊執行器的數目太多，同時由一個系統來發布命令會造成控制系統的網絡阻塞，影響攻擊的突然性和協同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。整個過程可分為：

三、DDoS攻擊方式