什么是 DDoS 攻擊？分布式拒絕服務（DDoS）攻擊是通過大規模互聯網流量淹沒目標服務器或其周邊基礎設施，以破壞目標服務器、服務或網絡正常流量的惡意行為。DDoS 攻擊利用多臺受損計算機系統作為攻擊流量來源以達到攻擊效果。利用的機器可以包括計算機，也可以包括其他聯網資源（如 IoT 設備）。總體而言，DDoS 攻擊好比高速公路發生交通堵塞，妨礙常規車輛抵達預定目的地。

常見的 DDoS 攻擊有哪幾類？

不同類型的 DDoS 攻擊針對不同的網絡連接組件。為了解不同的 DDoS 攻擊如何運作，有必要知道網絡連接是如何建立的。互聯網上的網絡連接由許多不同的組件或“層”構成。就像打地基蓋房子一樣，模型中的每一步都有不同的用途。OSI 模型是一個概念框架，用于描述 7 個不同層級的網絡連接。雖然幾乎所有 DDoS 攻擊都涉及用流量淹沒目標設備或網絡，但攻擊可以分為三類。攻擊者可能利用一種或多種不同的攻擊手段，也可能根據目標采取的防范措施循環使用多種攻擊手段。

應用程序層攻擊

攻擊目標：此類攻擊有時稱為第 7 層 DDoS 攻擊（指 OSI 模型第 7 層），其目標是耗盡目標資源。攻擊目標是生成網頁并傳輸網頁響應 HTTP 請求的服務器層。在客戶端執行一項 HTTP 請求的計算成本比較低，但目標服務器做出響應卻可能非常昂貴，因為服務器通常必須加載多個文件并運行數據庫查詢才能創建網頁。第 7 層攻擊很難防御，因為難以區分惡意流量和合法流量。

HTTP 洪水

HTTP 洪水攻擊類似于同時在大量不同計算機的 Web 瀏覽器中一次又一次地按下刷新 ——大量 HTTP 請求涌向服務器，導致拒絕服務。這種類型的攻擊有簡單的，也有復雜的。較簡單的實現可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問一個 URL。復雜版本可能使用大量攻擊性 IP 地址，并使用隨機 referrer 和用戶代理來針對隨機網址。

協議攻擊

攻擊目標：協議攻擊也稱為狀態耗盡攻擊，這類攻擊會過度消耗服務器資源和/或防火墻和負載平衡器之類的網絡設備資源，從而導致服務中斷。協議攻擊利用協議堆棧第 3 層和第 4 層的弱點致使目標無法訪問。

SYN 洪水

SYN 洪水就好比補給室中的工作人員從商店的柜臺接收請求。工作人員收到請求，前去取包裹，再等待確認，然后將包裹送到柜臺。工作人員收到太多包裹請求，但得不到確認，直到無法處理更多包裹，實在不堪重負，致使無人能對請求做出回應。此類攻擊利用 TCP 握手（兩臺計算機發起網絡連接時要經過的一系列通信），通過向目標發送大量帶有偽造源 IP 地址的 TCP“初始連接請求”SYN 數據包來實現。目標計算機響應每個連接請求，然后等待握手中的最后一步，但這一步確永遠不會發生，因此在此過程中耗盡目標的資源。

容量耗盡攻擊

攻擊目標：此類攻擊試圖通過消耗目標與較大的互聯網之間的所有可用帶寬來造成擁塞。攻擊運用某種放大攻擊或其他生成大量流量的手段（如僵尸網絡請求），向目標發送大量數據。

DNS 放大

DNS 放大就好比有人打電話給餐館說“每道菜都訂一份，請給我回電話復述整個訂單”，而提供的回電號碼實際上屬于受害者。幾乎不費吹灰之力，就能產生很長的響應并發送給受害者。利用偽造的 IP 地址（受害者的 IP 地址）向開放式 DNS 服務器發出請求后，目標 IP 地址將收到服務器發回的響應。