分布式拒绝服务（ of ，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，耗尽目标服务器性能或网络带宽等资源，从而造成服务器无法正常地提供服务的攻击手段。

简单说来，就类似于一个菜馆，本身最多同时接待50人同时吃面。有人恶意组织了1000个人甚至更多人往菜馆里挤，把门堵死，甚至把锅都挤翻了什么是云服务平台，导致菜馆无法正常运作，无法提供服务。

典型的DDoS攻击原理

攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序（也就是传说中的肉鸡）。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

DDoS攻击的危害

DDoS攻击往往会对信息系统造成以下危害：

常见的DDoS攻击类型DDoS攻击分类攻击子类描述

畸形报文

畸形报文主要包括Frag Flood、Smurf、 Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。

畸形报文攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。

传输层DDoS攻击

传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、等。

以Syn

Flood攻击为例，它利用了TCP协议的三次握手机制什么是云服务平台，当服务端接收到一个Syn请求时，服务端必须使用一个监听队列将该连接保存一定时间。因此，通过向服务端不停发送Syn请求，但不响应Syn+Ack报文，从而消耗服务端的资源。当监听队列被占满时，服务端将无法响应正常用户的请求，达到拒绝服务攻击的目的。

DNS DDoS攻击

DNS DDoS攻击主要包括DNS Flood、DNS Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。

以DNS Query Flood攻击为例，其本质上执行的是真实的Query请求，属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求，服务端无法响应正常的Query请求，从而导致拒绝服务。

连接型DDoS攻击

连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、、 、Xoic等慢速攻击。

以攻击为例，其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后，Web服务即无法接受新的请求。Web服务接收到新的HTTP请求时，建立新的连接来处理请求，并在处理完成后关闭这个连接。如果该连接一直处于连接状态，收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时，Web将无法处理任何新的请求。

攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以rnrn标识的结束，如果Web服务端只收到rn，则认为HTTP 部分没有结束，将保留该连接并等待后续的请求内容。

Web应用层DDoS攻击

Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。

通常应用层攻击完全模拟用户请求，类似于各种搜索引擎和爬虫一样，这些攻击行为和正常的业务并没有严格的边界，难以辨别。

Web服务中一些资源消耗较大的事务和页面。例如，Web应用中的分页和分表，如果控制页面的参数过大，频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下，类似这样的事务就成了早期CC攻击的目标。

由于现在的攻击大都是混合型的，因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如，各种刷票软件对网站的访问，从某种程度上来说就是CC攻击。

CC攻击瞄准的是Web应用的后端业务，除了导致拒绝服务外，还会直接影响Web应用的功能和性能，包括Web响应时间、数据库服务、磁盘读写等。

如何判断自身信息系统是否已遭受DDoS攻击？

遭受DDoS攻击的信息系统往往有如下表现：

那么，遭遇分布式拒绝服务（DDoS）攻击后，该如何处理，尽快恢复业务，挽回损失呢？可参考：服务器遭遇DDoS攻击怎么办，如何防护？

参考资料：

DDoS防护服务-阿里云

DDoS高防服务-华为云

分布式拒绝服务攻击-百度百科