当在线服务不可用时，它在 IT 界被称为“拒绝服务”（DoS）。拒绝服务通常是在单个 IT 基础架构组件过载时发生的。如果这是由外部各方故意引起的，则称为 DoS 攻击。当攻击者用太多请求淹没目标 URL 以致服务器无法再处理所有请求时，就会发生这种情况。这意味着网络设备、操作系统和单个服务器服务只能以延迟的方式响应请求（如果有的话）。一种特别有效的方法是系统被来自各种计算机的请求淹没。这被称为DDoS攻击，它与DoS攻击不同，因为使用了数千个“僵尸网络”，而不是一个。

大规模 DDoS 攻击

DoS 的一种常见形式称为“分布式拒绝服务”（DDoS）。网络犯罪分子不仅使用一台计算机，还使用来自多台计算机的请求使系统过载，这些请求组合在一起形成巨大的僵尸网络。通过使用这样的计算机网络，与仅从单个系统执行的简单 DoS 攻击相比，产生的流量更多。DDoS攻击对相关人员产生了巨大影响，找到攻击源的希望通常非常黯淡。植入此类僵尸网络的攻击者将特殊的软件代理放置在保护不足的计算机上。然后使用这些计算机在所有者不知情的情况下控制它们。“感染”有时会在实际DDoS攻击发生前几个月发生。

DDoS 攻击是什么样的？

每次DDoS攻击的基础都是更大的计算机网络。从理论上讲，这个组实际上可以归攻击者所有。然而，在实践中，它通常是上述机器人网络，由数十万台计算机组成。相应的计算机感染了恶意软件，允许网络犯罪分子在计算机所有者没有注意到的情况下进行远程访问。在最近的过去，物联网（Internet o f Things）设备，如路由器，监控摄像头或数字视频录像机，也可能被滥用为机器人，越来越频繁地使用。

使用正确的计算机网络，攻击者通常可以轻松执行计划的DDoS攻击。为了实现他的目标，即使目标服务陷入停顿，他现在需要在受害者的系统或网络中找到适当的攻击点。一旦他们找到这个后门，他们就可以向他们的机器人军队发送所需的命令，以在所需的时间启动 DDoS 攻击浪潮。在下一节中，您将了解远程控制机器人使用哪些不同的操作和攻击模式。

有哪些类型的 DDoS 攻击？

与其他网络犯罪入侵不同，DoS 和 DDoS 攻击不会试图渗透到系统中;相反，它们通常是更大攻击的一部分。例如，当一个系统瘫痪时，攻击可以用来分散服务器操作员的注意力，让他们相信攻击正在另一个系统上的其他地方发生。如果系统的响应由于 DoS 或 DDoS 攻击而延迟，黑客有机会通过操纵响应来更改对过载系统的请求。此类攻击背后的策略可分为三类：

带宽过载

系统资源过载

利用软件错误和安全漏洞

带宽过载

带宽过载的目的是使计算机无法访问。DoS 和 DDoS 攻击直接针对网络及其各自的连接设备。路由器一次只能处理一定数量的数据。如果由于攻击而超出此容量，则其他用户将无法再使用相应的服务。专为过载带宽而设计的典型DDoS攻击是Smurf攻击。

蓝精灵攻击：这种DDoS攻击利用互联网控制消息协议（ICMP），该协议有助于交换计算机网络中的信息和错误报告。攻击者将操纵的 ICMP 回显请求数据包 （Ping） 发送到网络的广播地址，并使用目标的 IP 地址作为发送方地址。然后，广播请求从网络路由器转发到所有连接的设备，这会导致它们全部向发送方地址 （Pong） 发送响应。因此，连接了许多设备的大型网络可能会严重损害目标的带宽。

系统资源过载

DDoS 攻击以系统资源为目标;这样，攻击者利用 Web 服务器只能建立有限数量的连接这一事实。如果这些用于无效请求，则服务器将被常规用户有效地阻止。这被称为洪水。系统资源上的经典 DDoS 攻击模式是 ping 泛洪、SYN 泛滥和 UDP 泛滥。

HTTP flood：这是最简单的 DDoS 资源过载攻击变体。攻击者用大量 HTTP 请求淹没目标的 Web 服务器。为此，他们只需访问目标项目的任何页面，直到服务器因请求量而崩溃。

Ping 洪水：当涉及到这种类型的攻击时，网络犯罪分子会使用 ICMP 回显请求数据包使服务器过载。这些请求通常由僵尸网络大规模发送。由于这些请求（ping）必须使用来自目标系统（pong）的数据包来回答，因此慢速系统最终会受到ping洪水的阻碍。

SYN 泛洪：此攻击滥用 TCP 三向握手连接。TCP（传输控制协议）是一种网络协议，与IP一起确保互联网上流畅的数据流量。TCP 连接始终在三步身份验证过程中建立，该过程从客户端向服务器发送同步数据包 （SYN） 开始。然后，服务器会接收此数据包，服务器使用自己的同步数据包 （SYN） 和确认 （ACK） 确认请求。然后，连接过程以客户端确认 （ACK） 结束。如果最后一步失败，系统将瘫痪，因为服务器没有最终确认的连接存储在工作内存中。如果由于 SYN 泛洪而大量这些半打开的连接相遇，则可用的服务器资源将完全用完。

UDP 洪水：通过这些攻击，网络犯罪分子依赖于无连接用户数据报协议 （UDP）。与通过TCP协议传输不同，数据可以通过UDP传输，而无需建立连接。对于 DoS 和 DDoS 攻击，UDP 数据包被发送到目标系统上的随机端口。系统尝试确定哪些应用程序正在等待传输的数据，然后因此将ICMP数据包与消息“无法访问目标”一起发送回发送方，但未成功。如果系统感受到大量此类请求的压力，则资源过载可能会导致普通用户的可用性有限。

利用软件错误和安全漏洞

如果黑客在操作系统或程序中发现某些安全漏洞，他们可以计划DoS或DDoS攻击，以便请求触发系统崩溃。此类攻击的示例包括死亡 ping 和 LAND（局域网拒绝）攻击。

死亡ping：此攻击的目的是导致系统崩溃。黑客利用互联网协议 （IP） 中的实现错误。IP 数据包通常作为分片发送。如果为数据包组合发送了不正确的信息，则许多操作系统可能会被欺骗，认为 IP 数据包大于最大限额 64 KB。这可能会导致缓冲区溢出，即程序尝试在缓冲区中存储的数据多于其处理能力。额外的信息必须去某个地方并流入相邻的缓冲区，导致存储在那里的任何信息都被覆盖或损坏。

土地攻击：在这种类型的攻击中，攻击者根据TCP三向握手发送SYN数据包（见上文）。SYN 数据包与要攻击的相应服务器具有相同的目标和发送方地址。然后，服务器通过以 SYN/ACK 数据包的形式向自身发送响应来响应请求。这可以解释为一个新的连接请求，再次需要使用 SYN/ACK 数据包进行应答。这会导致容量过载，因为系统会不断重复响应请求，然后可能导致系统崩溃。

如何预防和减少DDoS攻击？

已经开发了各种安全措施来阻止IT系统因DoS和DDoS攻击而过载。一种方法是识别关键 IP 地址并关闭任何已知的安全漏洞。此外，提供硬件和软件资源可以弥补较小的攻击。

IP 黑名单：黑名单可以识别关键 IP 地址并拒绝数据包。这些安全措施可以手动实施，也可以通过防火墙通过动态黑名单自动实施。

过滤：为了过滤掉不规则的数据包，您可以定义指定时间段内的数据量限制。您应该注意代理，这可能意味着许多客户端在服务器上使用相同的 IP 地址注册，并且可能会被阻止。

SYN Cookie：SYN Cookie 专注于 TCP 连接中的安全漏洞。如果实施了这些安全措施，则有关 SYN 数据包的信息将不再保存在服务器上，而是作为加密 cookie 发送到客户端。SYN 泛洪攻击会占用一些计算机容量，但不会使目标系统的内存过载。

负载平衡：防止过载的有效对策是将负载分配到不同的系统上，这是通过负载平衡实现的。在这里，可用服务的硬件容量分布在多台物理计算机上。这就是在一定程度上拦截DoS和DDoS攻击的方式。