DDoS攻击全称——分布式拒绝服务攻击，是网络攻击中非常常见的攻击方式。在进行攻击的时候，这种方式可以对不同地点的大量计算机进行攻击，进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包，使攻击目标出现瘫痪的情况，不能提供正常的服务。

DDoS常见攻击方式

常见的DDoS攻击一般有三种方式，攻击网络带宽资源、攻击系统资源和攻击应用资源。具体细分攻击方式详见下面三张图。

网络带宽资源的攻击方式（图源：知道创宇云安全）

系统资源的攻击方式（图源：知道创宇云安全）

应用资源的攻击方式（图源：知道创宇云安全）

DDoS攻击原理

DDoS攻击有许多不同的攻击方式，而不同的攻击方式原理也不尽相同。下面列出常见DDoS攻击方式的原理。

ICMP Flood：通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDP Flood：攻击者通常发送大量伪造源IP地址的小UDP包，100kbps的就能 将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

ACK Flood: 目前ACKFlood并没有成为攻击的主流，而通常是与其他攻击方式组合在一起使用。

NTP Flood：攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，这样一来可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

SYN Flood：一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。

CC 攻击：由于CC攻击成本低、威力大据调查目前80%的DDoS攻击都是CC攻击。CC攻击是借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

DNS Query Flood：DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

DDoS攻击现在趋势

第一，攻击类型更加多样与复杂。容量耗尽型攻击：例如TCP耗尽，应用层攻击，以及结合多种策略与手段的多向量攻击，这些攻击现在往往针对的是服务器或网站的薄弱环节，例如针对下载、表单等区域，攻击流量与用户流量混杂在一起，因此企业也更难区分并缓解恶意流量。仅在国内的攻击，上T的峰值已不罕见。这意味着攻击者采取更少次数，但更复杂更智能的攻击就可以给企业带来重创。

第二，在近几年的报告中可以看出，新型的攻击手法如放大反射攻击开始逐渐活跃。反射放大攻击是一种具有巨大攻击力的DDoS攻击方式。攻击者只需要付出少量的代价，即可对需要攻击的目标产生巨大的流量，对网络带宽资源(网络层)、连接资源(传输层) 和计算机资源(应用层)造成巨大的压力。

2016年美国Dyn公司的DNS服务器遭受DDoS攻击，导致美国大范围断网。事后的攻击流量分析显示，DNS反射放大攻击与SYN洪水攻击是作为本次造成美国断网的拒绝服务攻击的主力。由于反射放大攻击危害大，成本低，溯源难，被黑色产业从业者所喜爱。

除此之外还有攻击系统资源和攻击应用资源的攻击方式。现在越来越多的攻击者，喜欢发起混合攻击，上下开工，打得受害企业措手不及，这样使传统的抗DDoS攻击思想开始变得越来越无用。

如何正确防御DDoS攻击？

传统的防御思想都是单一的，如增加带宽，买ADS设备，买DDoS防火墙，用云端和本地代替等等。有一些方法确实可以缓解，但是对企业来说，在攻击越来越复杂的当下做好全面防护难度很大。

这时候，企业往往需要第三方的抗DDoS服务商来提供安全支持。作为企业在选购抗DDoS业务时，必须要考察以下几点：

1.有多少节点？

2.机房最大能抗多少流量峰值？

3.机房数量以及稳定性？

4.支持测试么？

5.价格是否合适？

6.是否可以实时展示，并有效通知？

7.遭受攻击或者不稳定影响业务时，是否可以支持排查问题？

安全服务商该如何选择？

目前最市场占有率较大的几个网络安全服务商有阿里云、腾讯云、知道创宇等。下面简单罗列出各自DDoS防御服务特点，大家可以根据自身业务需求选择。

阿里云：基本上可以防护各种DDoS攻击，并可以根据用户的流量大小自动调整防御策略，支持BGP和CDN两种引流，并在防御应用层DDOS上有很大优势，最大防护能力达到T级。

腾讯云：腾讯基于自身能力在游戏和社交产品的防御上独具优势，采用BGP防护带宽，单IP对接多线路，线路可靠且覆盖面广。

知道创宇：同样能对互联网上各种类型的DDoS攻击进行防护，并且有海外CN2专线，对海外业务友好，延时很低。他们的产品在防CC攻击上有明显优势，最大防护达4T。有免费试用和低价的抗D套餐，中小企业也可以选择。

绿盟云：背靠绿盟多年硬件防护能力，基于CPE设备/软件结合云端服务的混合抗D方案，绿盟当前在大客户有广泛的ADS及抗D模块设备如WAF的部署，可以很容易感知业务异常，方便和云端联动和协作。