什么是拒绝服务攻击

　　拒绝服务，英文为"Denial of Service"，也就是我们常说的DoS。那什么又是拒绝服务呢？大家可以这样理解，凡是能导致合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常的明确，就是要阻止合法用户对正常网络资源的访问，从而达到攻击者不可告人的目的。

　　简单的讲，拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的一种攻击手段。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人PC，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大。

　　在1999年底，伴随着DDoS的出现，高端网站高枕无忧的局面不复存在。DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。因此，分布式拒绝服务也被称之为"洪水攻击"。常见的DDoS攻击手法有UDP Flood、SYN Flood、ICMP Flood、TCP Flood、Proxy Foold等等。 DDoS攻击原理图如下：

DDOS攻击的简单分类

　　1.基于操作系统/应用软件漏洞的应用层D-DoS攻击：

　　四两拨千斤的攻击方式，发送少量数据导致攻击目标系统资源被大幅占用，以达到拒绝服务的目的。在某些情况下，甚至一台攻击机即可完成这类攻击。

　　2.基于IP协议漏洞的网络层D-DoS攻击：

　　最常见的攻击方式，利用TCP协议的漏洞，导致攻击目标的系统资源被大幅占用。需要一定规模的傀儡机才能达到较好的拒绝服务效果。

　　3.面向网络资源的D-DoS攻击

　　最难以防范的攻击方式。攻击者通过控制大量傀儡机同时发送正常报文，导致攻击目标之前的网络带宽、路由器、防火墙或防D-DoS网关甚至服务器本身的资源耗尽。需要控制极大规模的傀儡机或大量服务器才能达到资源占用的效果。原理图如下：

图1

　　DDoS是一种特殊形式的拒绝服务攻击，所以对付它是一个系统工程，想仅仅依靠某种系统或产品防范DDoS是不现实的。可以肯定的是，要想完全杜绝DDoS目前是不可能的，但是通过适当的措施抵御90%的DDoS攻击是可以做到的。对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。