什么是 DoS 攻击？

DoS 攻击是一种恶意的、有针对性的攻击，它会向网络发送大量欺诈性请求，以扰乱业务活动。在 DoS 攻击期间，用户无法执行普通和重要的操作，例如访问电子邮件、网站、在线帐户或受感染机器或网络控制的其他服务。虽然大多数DoS 攻击不会导致数据丢失，并且通常无需支付赎金即可处理，但它们仍然会花费公司时间、金钱和其他资源来恢复重要的业务活动。

分布式拒绝服务 (DDoS) 攻击是一种恶意尝试，通过用 Internet 流量淹没目标或其周围基础设施来中断目标服务器、服务或网络的常规流量。

DDoS 攻击之所以成功，是因为它们使用多个被黑客入侵的计算机系统作为攻击流量的来源。计算机和其他网络资源（例如物联网设备）都可能成为被利用的机器。

DDoS 攻击类似于不可预见的交通拥堵，堵塞了道路，阻止普通交通到达目的地。

如果不分析其架构，您就无法跟踪 DDoS 攻击并确定责任人。

如您所知，DDoS 攻击的基本结构是攻击者 > 僵尸网络 > 受害者。僵尸网络是服从命令的机器人网络。如果没有它，攻击者只是 DoS，其威力要弱得多，更容易阻止，也更容易跟踪某种网络攻击。

添加僵尸网络可以提高攻击的有效性和效力，同时隐藏其来源。您有可能无法识别这些机器人的源 IP 地址，但仍然值得尝试。

经常使用的 DDoS 攻击类型包括：

UDP 洪水：根据定义，UDP 洪水是指使用用户数据报协议 (UDP) 数据包淹没目标的任何 DDoS 攻击。该攻击的目的是淹没远程计算机上的随机端口。

ICMP (Ping) 洪水： ICMP 洪水攻击与 UDP 洪水攻击一样，通过 ICMP 回显请求 (ping) 数据包淹没目标资源，通常会尽快传送数据包，而无需等待应答。

SYN Flood： SYN Flood DDoS 攻击利用 TCP 连接过程中的已知缺陷（“三向握手”），其中与主机建立 TCP 连接的 SYN 请求必须得到 SYN-ACK来自该主机的响应，随后是来自请求者的 ACK 响应。请求者发送重复的 SYN 请求，但要么不响应主机的 SYN-ACK 应答，要么在 SYN 泛洪场景中从伪造的 IP 地址发送 SYN 查询。

Ping of Death：攻击者通过向计算机重复发送格式错误或恶意的 ping 来实施死亡 ping (“POD”) 攻击。IP 数据包的最大数据包长度（包括标头）为 65,535 字节。然而，数据链路层通常将以太网上的最大帧大小限制为 1500 字节。在这种情况下，一个巨大的IP数据包被分成许多IP数据包（称为分片），目的主机将IP分片重新组装成整个数据包。在 Ping of Death 场景中，接收者收到由于恶意修改片段内容而重新组装后大于 65,535 字节的 IP 数据包。

Slowloris： Slowloris 是一种高度集中的攻击，允许一台 Web 服务器瘫痪另一台 Web 服务器，而不会中断目标网络上的其他服务或端口。Slowloris 通过尽可能多地保持与目标 Web 服务器的连接打开来实现此目的。它通过连接到目标服务器但仅传输请求的一部分来实现此目的。

NTP 放大攻击： NTP 放大攻击的实施者使用可公开访问的网络时间协议 ( NTP ) 服务器向目标服务器发送 UDP 流量。由于此类情况下的查询与响应比率介于 1:20 和 1:200 之间或更高，因此该攻击被归类为放大攻击。这意味着任何获取开放 NTP 服务器列表（例如，通过使用Metasploit等工具或来自开放 NTP 项目的数据）的攻击者都可能发起灾难性的高带宽、大容量 DDoS 攻击。

HTTP Flood：攻击者在 HTTP Flood DDoS 攻击中使用看似有效的 HTTP GET 或 POST 请求来攻击 Web 服务器或应用程序。HTTP 洪水攻击比其他攻击使用更少的带宽来瘫痪目标站点或服务器，因为它们不涉及格式错误的数据包、欺骗或反射方法。