网站最头痛的就是被攻击，其中最难的就是防护DDoS攻击，常见的服务器攻击方式主要有这几种：端口渗透、端口渗透、密码破解、DDOS攻击。分布式拒绝服务（DDoS）攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。很多被攻击的网站可能都不太了解DDoS攻击到底是怎么一回事？是怎样达到的攻击效果呢？今天带你一起了解一下。

 
DDoS攻击其主要攻击方法有4种
 
1、攻击系统
 
创建TCP连接需要客户端与服务器进行三次交互，也就是常说的“三次握手”。这个信息通常被保存在连接表结构中，但是表的大小有限，所以当超过了存储量，服务器就无法创建新的TCP连接了。所以，防护DDoS攻击其实最重要的就是能做到很好的避免自身可被利用来进行攻击的缺点。
 
攻击者就是利用这一点，用受控主机建立大量恶意的TCP连接，占满被攻击目标的连接表，使其无法接受新的TCP连接请求。如果攻击者发送了大量的TCP SYN报文，使服务器在短时间内产生大量的半开连接，连接表也会被很快占满，导致无法建立新的TCP连接，这个方式是SYN洪水攻击，很多攻击者都比较常用。
 
2、攻击应用
 
近些年，Web技术发展非常迅速，如果攻击者利用大量的受控主机不断地向Web服务器恶意发送大量HTTP请求，要求Web服务器处理，就会完全占用服务器资源，让正常用户的Web访问请求得不到处理，导致拒绝服务。一旦Web服务受到这种攻击，就会对其承载的业务造成致命的影响。
 
或者向DNS服务器发送大量查询请求，从而达到拒绝服务的效果，如果每一个DNS解析请求所查询的域名都是不同的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当DNS服务的可用性受到威胁，互联网上大量的设备都会受到影响而无法正常使用。
 
由于DNS和Web服务的广泛性和重要性，针对这两种服务采取防护DDoS攻击的措施变得十分重要。
 
3、 攻击带宽
 
攻击者可以使用ICMP洪水攻击（即发送大量ICMP相关报文）、或者UDP洪水攻击（即发送用户数据报协议的大包或小包），使用伪造源IP地址方式进行隐匿，并对网络造成拥堵和服务器响应速度变慢等影响。
 
跟帝都的交通堵塞情况一样，大家都该清楚，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的情况。DDoS就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。
 
针对这种直接的攻击方式，被攻击者防护DDoS的难度会比较小。因为这种攻击方式通常依靠受控主机本身的网络性能，所以效果不是很好，还容易被查到攻击源头。于是反射攻击就出现，攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包的时候就被骗了，会将响应数据发送给被攻击目标，然后就会耗尽目标网络的带宽资源。
 
4、 混合攻击
 
随着僵尸网络向着小型化的趋势发展，为降低攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，针对应用层的小流量慢速攻击已经逐步发展壮大起来。因此，从另一个角度来说，DDoS攻击方面目前主要是两个方面：UDP及反射式大流量高速攻击、和多协议小流量及慢速攻击。
 
对于被攻击者来说，想要有效防护DDoS，需要面对不同的协议、不同资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增加。因为在实际的生活中，攻击者并不关心自己使用的哪种攻击方法管用，只要能够达到目的，一般就会发动其所有的攻击手段，尽其所能的展开攻势。
 
深圳市飞博可科技有限公司是专业的网络安全高防公司，旗下无敌防护平台专注于DDoS流量攻击防护、CC防护等网络安全。公司总部位于深圳市南山高新技术产业园区，核心团队由前百度腾讯安全团队及电信运营商团队组成，旗下无敌防护平台是公司核心平台。