当前位置：首页 > news >正文

DDOS攻击简介——什么是DDOS

news 2026/2/10 19:57:59

DDoS是什么?

DDoS是分布式拒绝服务攻击(Distributed denial of service attack)的简称。分布式拒绝服务器攻击(以下均称作DDoS)是一种可以使很多计算机(或服务器)在同一时间遭受攻击，使被攻击的目标无法正常使用的一种网络攻击方式。DDoS攻击在互联网上已经出现过无数次，甚至连Google、微软这些大公司都被DDoS国，是比较常见的一种网络攻击。

DDoS攻击特征：

DDoS攻击方式在进行攻击的时候，可以对攻击源的IP地址进行伪造，这样可以提升攻击源的隐蔽性，使得被攻击者无法定向屏蔽IP，要对攻击进行检测也是非常困难的，一旦被攻击就只能束手无策。

分布式拒绝服务攻击原理是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采取欺骗和伪装的策略来进行网络攻击，使得网站服务器充斥着大量要求回复的信息。

DDoS攻击目的：

使得目标主机无法为用户提供正常服务，所以叫“拒绝服务”;甚至会导致系统崩溃。

DDoS攻击原理：

DDoS是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。可以将DDoS简单理解为DoS的进化版。

一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。

主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。

对于主控端和代理端的计算机，攻击者有控制权或者部分控制权。它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络，而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。

每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

DDoS的多种类型：

1 / 手动DDoS攻击

早期的DDoS攻击全是采用手动配置的，即发动DDoS攻击时，扫描远端有漏洞的计算机，侵入它们并且安装代码全是手动完成的。

2 / 半自动化DDoS攻击

在半自动化的攻击中，DDoS攻击属于主控端一代理端的攻击模型，攻击者用自动化的Scripts来扫描，主控端的机器对主控端和代理端之间进行协商攻击的类型、受害者的地址、何时发起攻击等信息由进行详细记录。

3 / 自动化DDoS攻击

在这类攻击中。攻击者和代理端机器之间的通信是绝对不允许的。这类攻击的攻击阶段绝大部分被限制用一个单一的命令来实现，攻击的所有特征，例如攻击的类型，持续的时间和受害者的地址在攻击代码中都预先用程序实现。

DDoS的攻击流程：

第①步：了解攻击目标。就是对所要攻击的目标有一个全面和准确的了解，以便对将来的攻击做到心中有数。主要关心的内容包括被攻击目标的主机数目、地址情况。目标主机的配置、性能、目标的带宽等等。也就是说攻击者会搞清楚“往哪打”以及“用多少资源去打”。

第②步：攻占傀儡主机。就是控制尽可能多的机器，然后安装相应的攻击程序。在主控机上安装控制攻击的程序，而攻击机则安装DDoS攻击的发包程序。随着DDoS攻击和蠕虫的融合，攻占傀儡机变成了一个自动化的过程，攻击者只要将蠕虫放入网络中，蠕虫就会在不断扩散中不停地攻占主机。也就是我们经常说的“肉鸡”。

第③步：实施攻击过程。攻击者通过主控机向攻击机发出攻击指令，或者按照原先设定好的攻击时间和目标，攻击机不停的向目标或者反射服务器发送大量的攻击包，来吞没被攻击者，达到拒绝服务的最终目的。

DDoS的防范措施：

(1)全面综合地设计网络的安全体系，注意所使用的安全产品和网络设备。

(2)提高网络管理人员的素质，关注安全信息，遵从有关安全措施，及时地升级系统，加强系统抗击攻击的能力。

(3)在系统中加装防火墙系统，利用防火墙系统对所有出入的数据包进行过滤，检查边界安全规则，确保输出的包受到正确限制。

(4)优化路由及网络结构。对路由器进行合理设置，降低攻击的可能性。

(5)优化对外提供服务的主机，对所有在网上提供公开服务的主机都加以限制。

(6)安装入侵检测工具(如NIPC、NGREP)，经常扫描检查系统，解决系统的漏洞，对系统文件和应用程序进行加密，并定期检查这些文件的变化。

已经遭受或正在遭受DDoS攻击了，该怎么办?

尽可能地保持服务、迅速恢复服务。由于分布式攻击入侵网络上的大量机器和网络设备，所以要对付这种攻击归根到底还是要解决网络的整体安全问题。真正解决安全问题一定要多个部门的配合，从边缘设备到骨干网络都要认真做好防范攻击的准备，一旦发现攻击就要及时地掐断最近攻击来源的那个路径，限制攻击力度的无限增强。

如何应对DDoS，目前仍然是业界难题，最好的解决办法就是靠大带宽来硬抗，可谓伤敌一千自损八百之法。可能互联网上有一些智能识别的方法，但本质还是清洗，引流，靠带宽抗。如果你的网站业务很重要，建议你选择高防服务器，自带清洗能力，防患于未然!

影速科技的海外高防服务器产品线，覆盖了美国、香港、韩国、日本四大节点，机房配备200G NP万M防火墙集群设备+黑洞牵引防火墙，确保机房网络安全。

DDOS攻击简介——什么是DDOS

相关文章：

DDOS攻击简介——什么是DDOS

龙蜥开源操作系统能解决CentOS 停服造成的空缺吗？

『Linux升级路』基础开发工具——gdb篇

边缘计算云边端全览—边缘计算系统设计与实践【文末送书-10】

使用PE信息查看工具和Dependency Walker工具排查因为库版本不对导致程序启动报错的问题

Servlet技术之Cookie对象与HttpSession对象

winlogbeat收集Windows事件日志传给ELK

Gin框架之使用 go-ini 加载.ini 配置文件

SpringMVC：整合 SSM 上篇

BFS解决多源最短路相关leetcode算法题

ARM GIC（四） gicv3架构基础

Kafka日志

gitattributes配置文件的作用

【华为鸿蒙系统学习】- 如何利用鸿蒙系统进行App项目开发|自学篇

基于SpringBoot的足球社区管理系统

ubuntu22.04上安装charles-proxy

（2021|CVPR，XMC-GAN，对比学习，注意力自调制）用于文本到图像生成的跨模态对比学习

【Linux基本命令】

Wi-Fi、蓝牙、ZigBee等多类型无线连接方式的安全物联网网关设计

华清远见嵌入式学习——ARM——作业4

LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器的上位机配置操作说明

Lombok 的 @Data 注解失效，未生成 getter/setter 方法引发的HTTP 406 错误

相机Camera日志实例分析之二：相机Camx【专业模式开启直方图拍照】单帧流程日志详解

多场景 OkHttpClient 管理器 - Android 网络通信解决方案

pam_env.so模块配置解析

电脑插入多块移动硬盘后经常出现卡顿和蓝屏

Nuxt.js 中的路由配置详解

零基础设计模式——行为型模式 - 责任链模式

第 86 场周赛：矩阵中的幻方、钥匙和房间、将数组拆分成斐波那契序列、猜猜这个单词

【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的“no matching...“系列算法协商失败问题