一、什么是DDoS攻击？

DDoS是Distributed Denial of Service的缩写，翻译成中文就是“分布式拒绝服务”。DDoS攻击将处于不同位置的多个计算机联合起来作为攻击平台，对一个和多个目标发动DDoS攻击，从而成倍提高攻击威力。由于攻击的发出点分布在不同地方，因此称这类攻击为分布式拒绝服务攻击。

二、攻击的方式

DDoS攻击通过大量的无用请求占用网络资源，从而造成网络堵塞、服务器瘫痪等目的。DDoS攻击的方式有很多种，大致上可以分为一下几种类型：

（1）通过使网络过载来干扰甚至阻断正常的网络通信；

（2）通过向服务器提交大量请求，使服务器超负荷；

（3）阻断某一用户访问服务器；

（4）阻断某服务与特定系统或个人的通讯。

DDoS攻击能够利用反射器对攻击性流量进行放大攻击，而且还具DDoS反射攻击的特点，能够对攻击来源更加难以追溯，如果在没有依靠高防服务下，DDoS放大攻击更加难防御。通常 DDoS 放大攻击想要实施其实需要一定的条件，下面我们就详细介绍一下实现 DDoS 放大攻击的常见方式。

DNS 放大攻击

DNS 称为域名系统(Domain Name System)，其作用为可以将域名和 IP 地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，DNS 使用的 TCP 与 UDP 端口号都是 53，主要使用 UDP 协议。通常，DNS 响应数据包会比查询数据包大，攻击者利用普通的 DNS 查询请求就能够将攻击流量放大 2 到 10 倍。但更有效的方法是使用 RFC 2671 中定义的 DNS 扩展机制 EDNS0。在 EDNS0 中，扩展了 DNS 数据包的结构，增加了 OPT RR 字段。在 OPT RR 字段中，包含了客户端能够处理的最大 UDP 报文大小的信息。服务端在响应 DNS 请求时，解析并记录下客户端能够处理的最大 UDP 报文的大小，并根据该大小生成响应的报文。

攻击者发送的 DNS 查询请求数据包大小一般为 60 字节左右，而查询返回结果的数据包大小通常为 3000 字节以上，因此，使用该方式进行放大攻击能够达到 50 倍以上的放大效果。极端情况下，36 字节的查询请求能够产生 3k～4k 字节的应答，也就是说，能够对攻击流量进行一百倍放大

SNMP 放大攻击

SNMP 是简单网络管理协议(Simple Network Management Protocol)的缩写，该协议是目前 UDP/IP 网络中应用最为广泛的网络管理协议，如今，各种网络设备上都可以看到默认启用的 SNMP 服务，从交换机到路由器，从防火墙到网络打印机，无一例外。

在 SNMPv1 中定义的 Get 请求可以尝试一次获取多个 MIB 对象，但响应消息的大小受到设备处理能力的限制。如果设备不能返回全部请求的响应，则会返回一条错误信息。在SNMPv2 中，添加了 GetBulk 请求，该请求会通知设备返回尽可能多的数据，这使得管理程序能够通过发送一次请求就获得大段的检索信息。利用默认通信字符串和 GetBulk 请求，攻击者能够开展有效的 SNMP 放大攻击。

攻击者向广泛存在并开启了 SNMP 服务的网络设备发送 GetBulk 请求，使用默认通信字符串作为认证凭据，并将源 IP 地址伪造成被攻击目标的 IP 地址。设备收到 GetBulk 请求后，会将响应结果发送给被攻击目标。当大量的响应结果涌向目标时，就会导致目标网络拥堵和缓慢，造成拒绝服务攻击。攻击者发送的 GetBulk 请求数据包约为 60 字节左右，而请求的响应数据能够达到 1500字节以上，因此，使用该方式进行放大攻击能够达到 20 倍以上的放大效果。

其他形式的放大攻击

在 NTP 协议中，monlist 请求可以获取与目标 NTP 服务器进行过同步的最后 600 个客户端的 IP 地址。发送一个很小的请求包，就能获取到大量的活动 IP 地址组成的连续 UDP 包。通过伪造 IP 地址并发送 monlist 请求，可以将攻击流量放大 500 倍以上。

在 CHARGEN 协议中，每当服务器收到客户端的一个 UDP 数据包，这个数据包中的内容将被丢弃，而服务器将发送一个数据包到客户端，其中包含长度为 0～512 字节之间随机值的任意字符。利用该协议可以将攻击流量放大 2～10 倍。需要说明的是，由于这些协议在互联网上部署的范围不够广泛，因此他们不能作为DDoS 放大攻击的主要手段和产生攻击流量的主要部分，只能作为辅助手段增大攻击流量。

三、攻击的现象

DDoS攻击是最常见也是危害极大的一种网络攻击方式，当出现DDoS攻击时，往往会出现以下几种特征：

1、带宽被大量占用

占用带宽资源是DDoS攻击的主要手段，如果发现网络带宽被大量无用数据所占据，正常请求难以被处理，那么网站可能出现被DDOS攻击的可能。

2、服务器CPU被大量占用

DDoS攻击利用肉鸡或攻击软件对目标服务器发送大量无效请求，导致服务器资源被大量占用，因此如果服务器某段时间出现CPU占用率过高那么就可能是网站受到DDoS攻击影响。

3、域名ping不出

当攻击者所针对的攻击目标是网站的DNS域名服务器时，ping服务器的IP是正常联通的，但是网站就是不能正常打开，并且在ping域名时会出现无法正常ping通的情况。

4、服务器连接不到

如果网站服务器被大量DDoS攻击，有可能造成服务器蓝屏或死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。四、攻击的危害

四、DDoS攻击的危害

DDoS攻击可以造成网络的严重堵塞和服务器的瘫痪，会对政府和企业造成非常大的负面影响。

（1）业务受损

如果服务器因DDoS攻击造成无法访问，会导致客流量的严重流失，进而对整个平台和企业的业务造成严重影响。如游戏平台，在线教育，电商平台，金融行业，直播平台等需要业务驱动的网站，受DDoS攻击影响最大。

（2）形象受损

服务器无法访问会导致用户体验下降、用户投诉增多等问题，不但会影响潜在客户的转化率和成交率，现有用户也会对企业的安全性和稳定性进行重新评估，企业的品牌形象和市场声誉将受到严重影响。

（3）数据泄露

如今使用DDoS作为其他网络犯罪活动掩护的情况越来越多，当网站被打到快瘫痪时，维护人员的全部精力都在抗DDoS上面，攻击者窃取数据、感染病毒、恶意欺骗等犯罪活动更容易得手。