分布式拒绝服务(DDoS)攻击是恶意尝试使用户无法使用在线服务，通常是暂时中断或暂停其托管服务器的服务。DDoS攻击是从众多受感染设备发起的，这些设备通常分布在全球范围内，称为僵尸网络。它与其他拒绝服务(DoS)攻击不同，因为它使用单个连接Internet的设备（一个网络连接）来用恶意流量淹没目标。这种细微差别是这两个有些不同的定义存在的主要原因。这是有关网络安全的一系列广泛指南的一部分。

从广义上讲，DoS和DDoS攻击可以分为三种类型：

基于卷的攻击

包括UDP泛洪、ICMP泛洪和其他欺骗性数据包泛洪。攻击的目标是使被攻击站点的带宽饱和，并且幅度以每秒比特数(Bps)为单位。

协议攻击

包括SYN泛洪、分段数据包攻击、PingofDeath、SmurfDDoS等。这种类型的攻击消耗实际的服务器资源，或中间通信设备的资源，例如防火墙和负载均衡器，并以每秒数据包数(Pps)为单位。

应用层攻击

包括低速和慢速攻击、GET/POST洪水、针对Apache、Windows或OpenBSD漏洞的攻击等。这些攻击由看似合法和无辜的请求组成，其目标是使Web服务器崩溃，其大小以每秒请求数(Rps)为单位。

常见的DDoS攻击类型

一些最常用的DDoS攻击类型包括：

根据定义，UDP泛洪是使用用户数据报协议(UDP)数据包泛洪目标的任何DDoS攻击。攻击的目标是淹没远程主机上的随机端口。这会导致主机反复检查在该端口上侦听的应用程序，并（当没有找到应用程序时）回复ICMP'DestinationUnreachable'数据包。此过程会消耗主机资源，最终可能导致无法访问。

ICMP（Ping）洪水

原理上与UDP泛洪攻击类似，ICMP泛洪使用ICMPEchoRequest(ping)数据包淹没目标资源，通常在不等待回复的情况下尽可能快地发送数据包。这种类型的攻击会消耗传出和传入带宽，因为受害者的服务器通常会尝试使用ICMPEchoReply数据包进行响应，从而导致整个系统显着变慢。

SYN泛洪DDoS攻击利用TCP连接序列中的一个已知弱点（“三次握手”），其中启动与主机的TCP连接的SYN请求必须由来自该主机的SYN-ACK响应来回答，并且然后由请求者的ACK响应确认。在SYN泛洪场景中，请求者发送多个SYN请求，但要么不响应主机的SYN-ACK响应，要么从欺骗的IP地址发送SYN请求。无论哪种方式，主机系统都会继续等待每个请求的确认，绑定资源直到无法建立新连接，最终导致拒绝服务。

死亡ping(“POD”)攻击涉及攻击者向计算机发送多个格式错误或恶意的ping。IP数据包（包括头）的最大数据包长度为65,535字节。数据链路层通常对最大帧大小有限制——例如以太网上的1500字节。在这种情况下，一个大的IP数据包被拆分为多个IP数据包（称为片段），并且接收主机将这些IP片段重新组合成完整的数据包。在PingofDeath场景中，在恶意操作片段内容之后，接收者最终得到一个重新组装后大于65,535字节的IP数据包。这可能会溢出为数据包分配的内存缓冲区，从而导致对合法数据包的拒绝服务。

Slowloris

Slowloris是一种针对性很强的攻击，可以让一个Web服务器关闭另一台服务器，而不会影响目标网络上的其他服务或端口。Slowloris通过保持与目标Web服务器的尽可能多的连接尽可能长时间地保持打开状态来做到这一点。它通过创建与目标服务器的连接来实现这一点，但只发送部分请求。Slowloris不断发送更多HTTP标头，但从未完成请求。目标服务器保持这些虚假连接中的每一个处于打开状态。这最终会溢出最大并发连接池，并导致拒绝来自合法客户端的额外连接。

在NTP放大攻击中，犯罪者利用可公开访问的网络时间协议(NTP)服务器来淹没目标服务器的UDP流量。攻击被定义为放大攻击，因为在这种情况下查询与响应的比率在1:20到1:200或更高之间。这意味着任何获得开放NTP服务器列表的攻击者（例如，通过使用诸如Metasploit之类的工具或来自开放NTP项目的数据）都可以轻松产生毁灭性的高带宽、大容量DDoS攻击。

HTTP洪水

在HTTP洪水DDoS攻击中，攻击者利用看似合法的HTTPGET或POST请求来攻击Web服务器或应用程序。HTTP洪水不使用格式错误的数据包、欺骗或反射技术，并且比其他攻击需要更少的带宽来破坏目标站点或服务器。当它强制服务器或应用程序分配尽可能多的资源以响应每个请求时，这种攻击是最有效的。

零日DDoS攻击

“零日”定义包括所有未知或新的攻击，利用尚未发布补丁的漏洞。该术语在黑客社区的成员中广为人知，交易零日漏洞的做法已成为一种流行的活动。

DDoS攻击背后的动机

根据最近的市场研究，DDoS攻击正迅速成为最普遍的网络威胁类型，在过去一年中，无论是数量还是数量都在迅速增长。趋势是攻击持续时间更短，但每秒数据包攻击量更大。