什么是DDOS攻擊？其實ddos攻擊就是一種通過各種技術手段導致目標系統(tǒng)進入拒絕服務狀態(tài)的攻擊。ddos攻擊的特點是什么？主要有四個特點，如果企業(yè)遇到ddos攻擊的話也是一件比較頭疼的事情，不過大家還是要及時做好防御。

　　什么是DDOS攻擊?

　　DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務，而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務的意思。

　　不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。

　　DoS攻擊是最早出現(xiàn)的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展，一般的網(wǎng)站主機都有十幾臺主機，而且各個主機的處理能力、內(nèi)存大小和網(wǎng)絡速度都有飛速的發(fā)展，有的網(wǎng)絡帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什么作用了，搞不好自己的機子就會死掉。舉個這樣的攻擊例子，假如你的機器每秒能夠發(fā)送10個攻擊用的數(shù)據(jù)包，而被你攻擊的機器(性能、網(wǎng)絡帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包，那樣的話，你的攻擊就什么用處都沒有了，而且非常有死機的可能。要知道，你若是發(fā)送這種1Vs1的攻擊，你的機器的CPU占用率是90%以上的，你的機器要是配置不夠高的話，那你就死定了。

　　不過，科技在發(fā)展，黑客的技術也在發(fā)展。正所謂道高一尺，魔高一仗。經(jīng)過無數(shù)次當機，黑客們終于又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是群毆，用好多的機器對目標機器一起發(fā)動DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器，他是通過他的機器在網(wǎng)絡上占領很多的“肉雞”，并且控制這些“肉雞”來發(fā)動DDoS攻擊，要不然怎么叫做分布式呢。還是剛才的那個例子，你的機器每秒能發(fā)送10攻擊數(shù)據(jù)包，而被攻擊的機器每秒能夠接受100的數(shù)據(jù)包，這樣你的攻擊肯定不會起作用。

　　ddos攻擊的特點是什么

　　1、發(fā)送偽IP

　　發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)這種攻擊會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內(nèi)存的同時還會堵塞帶寬。

　　發(fā)送偽造源IP的TCP數(shù)據(jù)包，TCP頭的TCP Flags部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內(nèi)存的同時還會堵塞帶寬。 針對用UDP協(xié)議的攻擊

　　2、發(fā)送數(shù)據(jù)包

　　很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)模粽哚槍Ψ治鲆舻木W(wǎng)絡軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護，但是這樣會造成正常的數(shù)據(jù)包也會被攔截，針對WEB Server的多連接攻擊。

　　3、造成網(wǎng)絡癱瘓

　　通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站無法處理癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封， 針對WEB Server的變種攻擊

　　通過控制大量肉雞同時連接訪問網(wǎng)站，一點連接建立就不斷開，一直發(fā)送發(fā)送一些特殊的GET訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數(shù)就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護，后面給大家介紹防火墻的解決方案 針對WEB Server的變種攻擊

　　4、控制網(wǎng)站

　　通過控制大量肉雞同時連接網(wǎng)站端口，但是不發(fā)送GET請求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是GET字符然后來進行http協(xié)議的分析，這種攻擊，不發(fā)送GET請求就可以繞過防火墻到達服務器，一般服務器都是共享帶寬的，帶寬不會超過10M所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務器的共享帶寬堵塞造成服務器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包，會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問。

　　DDOS攻擊隨著時間和技術的發(fā)展在不斷更新，變得越來越難防控。不過企業(yè)如果沒有及時做好防護的話自己的業(yè)務和形象都會遭到破壞，使服務暫時中斷或停止導致其正常用戶無法訪問，所以說做好防護措施很關鍵。