什么是DDOS攻擊？DDoS攻擊相信大家已經早有耳聞，DDOS本是利用合理的請求造成資源過載，導致服務不可用，從而造成服務器拒絕正常流量服務。所以ddos攻擊在現在仍然是一個重大的威脅，所以做好防護很重要。

　　什么是DDOS攻擊?

　　DoS是Denial of Service的簡寫就是拒絕服務，而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務的意思。

　　不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。

　　DoS攻擊是最早出現的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。但是現在的科技飛速發展，一般的網站主機都有十幾臺主機，而且各個主機的處理能力、內存大小和網絡速度都有飛速的發展，有的網絡帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什么作用了，搞不好自己的機子就會死掉。舉個這樣的攻擊例子，假如你的機器每秒能夠發送10個攻擊用的數據包，而被你攻擊的機器(性能、網絡帶寬都是頂尖的)每秒能夠接受并處理100攻擊數據包，那樣的話，你的攻擊就什么用處都沒有了，而且非常有死機的可能。要知道，你若是發送這種1Vs1的攻擊，你的機器的CPU占用率是90%以上的，你的機器要是配置不夠高的話，那你就死定了。

　　不過，科技在發展，黑客的技術也在發展。正所謂道高一尺，魔高一仗。經過無數次當機，黑客們終于又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是群毆，用好多的機器對目標機器一起發動DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器，他是通過他的機器在網絡上占領很多的“肉雞”，并且控制這些“肉雞”來發動DDoS攻擊，要不然怎么叫做分布式呢。還是剛才的那個例子，你的機器每秒能發送10攻擊數據包，而被攻擊的機器每秒能夠接受100的數據包，這樣你的攻擊肯定不會起作用，而你再用10臺或更多的機器來對被攻擊目標的機器進行攻擊的話，嘿嘿!結果我就不說了。

　　DRDoS分布反射式拒絕服務攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是可以在廣域網上進行的，而Smurf攻擊是在局域網進行的。它的作用原理是基于廣播地址與回應請求的。一臺計算機向另一臺計算機發送一些特殊的數據包如ping請求時，會接到它的回應;如果向本網絡的廣播地址發送請求包，實際上會到達網絡上所有的計算機，這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的，每處理一個就要占用一份系統資源，如果同時接到網絡上所有計算機的回應，接收方的系統是有可能吃不消的，就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己，不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播地址發送請求包，所有的計算機得到請求后，卻不會把回應發到黑客那里，而是發到被攻擊主機。

　　這是因為黑客冒充了被攻擊主機。黑客發送請求包所用的軟件是可以偽造源地址的，接到偽造數據包的主機會根據源地址把回應發出去，這當然就是被攻擊主機的地址。黑客同時還會把發送請求包的時間間隔減小，這樣在短時間能發出大量的請求包，使被攻擊主機接到從被欺騙計算機那里傳來的洪水般的回應，就像遭到了DDoS攻擊導致系統崩潰。駭客借助了網絡中所有計算機來攻擊受害者，而不需要事先去占領這些被欺騙的主機，這就是Smurf攻擊。而DRDoS攻擊正是這個原理，黑客同樣利用特殊的發包工具，首先把偽造了源地址的SYN連接請求包發送到那些被欺騙的計算機上，根據TCP三次握手的規則，這些計算機會向源IP發出SYN+ACK或RST包來響應這個請求。同Smurf攻擊一樣，黑客所發送的請求包的源IP地址是被攻擊主機的地址，這樣受欺騙的主機就都會把回應發到被攻擊主機處，造成被攻擊主機忙于處理這些回應而癱瘓。

　　服務器如何防御ddos

　　1、全面綜合地設計網絡的安全體系，注意所使用的安全產品和網絡設備。

　　2、提高網絡管理人員的素質，關注安全信息，遵從有關安全措施，及時地升級系統，加強系統抗擊攻擊的能力。

　　3、在系統中加裝防火墻系統，利用防火墻系統對所有出入的數據包進行過濾，檢查邊界安全規則，確保輸出的包受到正確限制。

　　4、優化路由及網絡結構。對路由器進行合理設置，降低攻擊的可能性。

　　5、優化對外提供服務的主機，對所有在網上提供公開服務的主機都加以限制。

　　6、安裝入侵檢測工具（如 NIPC、NGREP），經常掃描檢查系統，解決系統的漏洞，對系統文件和應用程序進行加密，并定期檢查這些文件的變化。

　　DDOS攻擊在互聯網時代也是大家頭疼的攻擊之一，是一種網絡攻擊手法，其目的在于使目標計算機的網絡或系統資源耗盡,使服務暫時中斷或停止，導致其正常用戶無法訪問。ddos攻擊對于企業來說傷害性是很大的。