DDOS全称Distributed Denial of Service，即“分布式拒绝服务”，学计算机的都知道DDOS攻击是安全领域最难解决的问题之一，由于其攻击方式的特殊性，始终没有一个完美的解决方案，有人说随着万物互联时代的临近，DDOS攻击的威胁将是毁灭性的…是否危言耸听了？
DDOS概述

DDOS通过拒绝服务的方式来消耗服务器的资源，可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用。
最简单的举例就是，一间餐厅60个座位，当座位坐满后，再有人想进来，就必须等座位空出，如果里面的人用完餐就是不走，是的整间餐厅不能正常运行，这就是所谓的‘拒绝服务’，服务器就像是一间餐厅，服务器可用的资源就是餐厅座位，如果所有资源都被占满了，那服务器就不能正常处理业务。
实际场景中，攻击者控制服务器，个人PC或IP摄像头对目标发起大量请求，从而导致目标服务器网络宽带拥塞，无法正常提供业务…
DDOS攻击的优势：分布式来替代传统的点对点的攻击模式，无规律可言，并会对数据包和源地址进行伪装，难检测，最重要的是DDoS的技术要求和攻击成本很低，且攻击速度快、防守难度大，服务商只有消耗大量的资源来处理这些攻击请求才能保证客户的正常业务请求。

DDOS攻击分为、资源消耗类攻击，服务消耗类攻击，反射类攻击

资源消耗类攻击最具代表性的是Syn Flood。这种攻击的目标很简单，即发送大量的请求，消耗服务器的带宽和协议栈处理资源的能力。
作为最经典的一种DDOS攻击，SYN Flood利用了TCP协议设计上的漏洞，而TCP/IP协议是整个互联网的基础，巨大的改动成本使得漏洞的修复几乎成为不可能

SYN Flood攻击原理是在攻击时，伪造大量的客户端IP地址，同时向服务端发送大量的SYN包，服务端收到请求后会返回一个SYN/ACK数据包，由于客户端IP地址是伪造的，服务端收不到回应，就会重试数次并等一个SYN Time，直到超时才会放弃这个连接。攻击者大量不间断的发送这种SYN请求，服务器就必须消耗巨大的资源来处理，最终导致拒绝服务。
服务消耗类攻击又称为应用层DDOS攻击，是定点打击，比如web的CC攻击，使服务器始终处理高消耗性的业务，导致正常业务不能处理。

常见的应用层DDoS攻击有：DNS-Flood攻击、慢连接攻击、CC攻击

DNS-Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。
2.慢连接攻击
在POST提交方式中，允许在HTTP的头中声明content-length，也就是POST内容的长度。在提交了头以后，将后面的body部分卡住不发送，这时服务器在接受了POST长度以后，就会等待客户端发送POST的内容，攻击者保持连接并且以10S-100S一个字节的速度去发送，就达到了消耗资源的效果。
反射类攻击
反射类攻击则以UDP协议为主，一般回应的流量要远远大于请求的流量，攻击者通过流量放大的特点以较小的流量带宽就可以制造出大规模的流量源可以说是不费吹灰之力，就能使服务器大量消耗资源。

1