單一的DDoS攻擊通常采用一對一的方式，利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝策略進行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器泛濫大量需要回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不堪重負(fù)，停止提供正常的網(wǎng)絡(luò)服務(wù)。DDoS中文的意思是“分布式拒絕服務(wù)”，即利用大量合法的分布式服務(wù)器向目標(biāo)發(fā)送請求，導(dǎo)致正常合法的用戶無法獲得服務(wù)。

一、DDoS攻擊模式：一個服務(wù)需要為公眾提供用戶訪問接口，而這些接口恰恰給了黑客可乘之機，比如：利用TCP/IP協(xié)議握手缺陷消耗服務(wù)器的鏈路資源，利用UDP協(xié)議無狀態(tài)機制偽造大量UDP數(shù)據(jù)包阻斷通信通道...可以說，互聯(lián)網(wǎng)世界從誕生之初就不缺少DDoS使用的攻擊點，從TCP/IP協(xié)議機制到CC、DNS、DNS。根據(jù)DDoS的危害性和攻擊行為，我們可以將DDoS攻擊方法分為以下幾類：

1.服務(wù)消費攻擊：與資源消費攻擊相比，服務(wù)消費攻擊不需要太多流量，主要針對服務(wù)的特性，如web的CC、數(shù)據(jù)服務(wù)的檢索、文件服務(wù)的下載等。這種攻擊往往不是針對流量通道或者協(xié)議處理通道的擁塞，而是針對服務(wù)器總是處理高消耗服務(wù)，進而無法響應(yīng)正常服務(wù)的繁忙狀態(tài)。

2.混合攻擊：混合攻擊是上述攻擊類型的組合，在攻擊過程中檢測并選擇最佳的攻擊模式?；旌瞎敉殡S著資源消耗和服務(wù)消耗的特點。

3.資源消耗攻擊：資源消耗攻擊是典型的DDoS攻擊，最具代表性的有Syn Flood、Ack Flood和UDP Flood。這種攻擊的目標(biāo)很簡單，就是通過大量的請求消耗正常的帶寬和協(xié)議棧處理資源的能力，從而達到服務(wù)器無法正常工作的目的。

4.反射攻擊：反射攻擊也叫放大攻擊，主要基于UDP協(xié)議。一般來說，請求響應(yīng)的流量遠大于請求本身的流量。攻擊者可以通過流量放大的特性，以較小的流量帶寬創(chuàng)建大規(guī)模的流量源，從而對目標(biāo)發(fā)起攻擊。反射攻擊并不是嚴(yán)格意義上的一種攻擊，它只是利用一些服務(wù)的業(yè)務(wù)特性，以較低的成本發(fā)起Flood攻擊。

二、DDoS保護手段：DDoS保護系統(tǒng)本質(zhì)上是基于資源爭奪和規(guī)則過濾的智能系統(tǒng)。主要防御手段和策略包括：

1.用戶規(guī)則：從服務(wù)角度來看，DDoS防護本質(zhì)上是一場以用戶為主體，依靠反d防護體系與黑客競爭的戰(zhàn)爭。在整個數(shù)據(jù)對抗過程中，服務(wù)提供商往往擁有絕對的主動權(quán)，用戶可以基于anti-d系統(tǒng)的特定規(guī)則，如流量類型、請求頻率、數(shù)據(jù)包特征、正常服務(wù)之間的延遲間隔等。基于這些規(guī)則，用戶可以在滿足正常服務(wù)本身的前提下，更好地對抗七層DDoS，降低服務(wù)器的資源開銷。

2.資源對抗：資源對抗也叫“死扛”，即通過堆疊大量服務(wù)器和帶寬資源來達到從容應(yīng)對DDoS流量的效果。

3.資源隔離：資源隔離可以看作是用戶服務(wù)的保護盾。這個防護系統(tǒng)擁有無比強大的數(shù)據(jù)和流量處理能力，為用戶過濾異常流量和請求。比如對于Syn Flood，屏蔽會響應(yīng)Syn Cookie或Syn Reset認(rèn)證，通過對數(shù)據(jù)源的認(rèn)證，過濾虛假源數(shù)據(jù)包或電源攻擊的攻擊，保護服務(wù)器不被惡意連接。資源隔離系統(tǒng)主要保護ISO模型的第三層和第四層。

4.大數(shù)據(jù)智能分析：黑客為了構(gòu)造大量的數(shù)據(jù)流，往往需要通過特定的工具構(gòu)造請求數(shù)據(jù)，而這些數(shù)據(jù)包不具備正常用戶的一些行為和特征。為了抵御這種攻擊，我們可以基于海量數(shù)據(jù)分析對合法用戶進行建模，并利用這些指紋特征，如Http模型特征、數(shù)據(jù)源、請求源等。有效過濾請求源白名單，從而實現(xiàn)對DDoS流量的精準(zhǔn)清理。

三、黑客為什么選擇DDoS：與其他惡意數(shù)據(jù)篡改或劫持攻擊不同，DDoS簡單粗暴，可以直接摧毀目標(biāo)。另外，與其他攻擊方式相比，DDoS的技術(shù)要求和攻擊成本較低，只需要購買一些服務(wù)器權(quán)限或者控制一批肉雞。而且對應(yīng)的攻擊速度快，攻擊效果可見。另一方面，DDoS具有易攻難守的特點，服務(wù)提供商需要花費大量資源對抗攻擊發(fā)起者，才能滿足正常客戶的需求。這些特點使得DDoS成為黑客手中一把非常好的劍。另一方面，雖然DDoS可以侵蝕帶寬或資源，迫使服務(wù)中斷，但這遠不是黑客的真正目的。所謂不買不賣不殺，DDoS只是黑客手中的核武器，其目的不是敲詐勒索，就是商業(yè)競爭，或者是政治立場。在這種黑利益的驅(qū)使下，越來越多的人參與到這個行業(yè)中，并對攻擊手段進行改進和升級，使得DDoS在互聯(lián)網(wǎng)行業(yè)中愈演愈烈，成為一種全世界都無法戰(zhàn)勝的頑疾。

四、DDoS防護難點：一方面，近十年來，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心組件從未改變，使得一些被發(fā)現(xiàn)和利用的漏洞以及一些成熟的攻擊工具存在較長的生命周期，即使在今天仍然有效。另一方面，隨著七層模型在互聯(lián)網(wǎng)上應(yīng)用的快速發(fā)展，分布式拒絕服務(wù)攻擊的目標(biāo)也變得多樣化。從web到DNS，從三層網(wǎng)絡(luò)到七層應(yīng)用，從協(xié)議棧到應(yīng)用app，層出不窮的新產(chǎn)品也給了黑客更多的機會和突破點。再者，DDoS防護是一個技術(shù)和成本不對等的項目，一個企業(yè)的DDoS防御系統(tǒng)的建設(shè)成本往往大于企業(yè)本身的成本或收益，這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意進行更多的投資。有不懂的請咨詢夢飛云idc了解。