DoS（拒绝服务）和DDoS（分布式拒绝服务）攻击正变得越来越常见和强大。拒绝服务攻击有多种形式，但有一个共同的目的：阻止用户访问资源，无论是网页、电子邮件、电话网络还是其他完全相同的资源。让我们看看最常见的针对web目标的攻击类型，以及DoS如何成为DDoS。

最常见的拒绝服务（dos）攻击类型

在其核心，拒绝服务攻击通常是通过淹没服务器（比如网站的服务器）来执行的，以至于无法向合法用户提供服务。有几种方法可以执行此操作，最常见的是TCP洪泛攻击和DNS放大攻击。

tcp洪水攻击

相关报道：TCP和UDP有什么区别？

几乎所有的web（HTTP/HTTPS）通信都是使用传输控制协议（TCP）执行的。TCP比用户数据报协议（UDP）有更多的开销，但其设计是可靠的。通过TCP相互连接的两台计算机将确认收到每个数据包。如果没有提供确认，则必须再次发送数据包。

如果一台计算机断开连接怎么办？可能用户断电，他们的ISP出现故障，或者他们正在使用的任何应用程序在没有通知另一台计算机的情况下退出。另一个客户端需要停止重新发送相同的数据包，否则会浪费资源。为了防止永无止境的传输，需要指定超时时间和/或限制在完全断开连接之前可以重新发送数据包的次数。

TCP的设计是为了在发生灾难时促进军事基地之间的可靠通信，但正是这种设计使得它容易受到拒绝服务攻击。当TCP被创建时，没有人想象它将被超过十亿的客户端设备使用。针对现代拒绝服务攻击的保护并不是设计过程的一部分。

对web服务器最常见的拒绝服务攻击是通过垃圾邮件SYN（同步）包来执行的。发送SYN包是启动TCP连接的第一步。在接收到SYN包之后，服务器用SYN-ACK包（同步确认）响应。最后，客户端发送一个ACK（确认）包，完成连接。

但是，如果客户端在一个设定的时间内没有响应SYN-ACK包，服务器将再次发送该包，并等待响应。它会反复重复这个过程，这会浪费服务器上的内存和处理器时间。事实上，如果做得足够多，它会浪费太多内存和处理器时间，以至于合法用户的会话被缩短，或者新会话无法启动。此外，所有数据包的带宽使用量的增加会使网络饱和，使它们无法承载他们实际想要的流量。

dns放大攻击

相关：什么是DNS，我应该使用另一个DNS服务器吗？

拒绝服务攻击也可以针对DNS服务器：翻译域名的服务器（如howtogeek.com网站)输入计算机用来通信的IP地址（12.345.678.900）。当你打字的时候howtogeek.com网站在浏览器中，它会被发送到DNS服务器。然后DNS服务器将您引导到实际的网站。DNS主要考虑的是速度和低延迟，因此该协议通过UDP而不是TCP进行操作。DNS是internet基础设施的关键部分，DNS请求所消耗的带宽通常是最小的。

然而，DNS发展缓慢，随着时间的推移，新功能逐渐增加。这就带来了一个问题：DNS的数据包大小限制为512字节，这对于所有这些新特性来说都是不够的。因此，在1999年，IEEE发布了DNS（EDNS）扩展机制规范，将cap增加到4096字节，允许在每个请求中包含更多的信息。

然而，这一变化使DNS容易受到“放大攻击”。攻击者可以向DNS服务器发送精心编制的请求，请求大量信息，并要求将它们发送到目标的IP地址。创建“放大”是因为服务器的响应比生成它的请求大得多，DNS服务器将向伪造IP发送响应。

许多DNS服务器未配置为检测或丢弃错误请求，因此当攻击者反复发送伪造请求时，受害者会被大量EDNS数据包淹没，从而造成网络拥塞。由于无法处理如此多的数据，它们的合法流量将丢失。

什么是分布式拒绝服务（ddos）攻击(a distributed denial of service (ddos) attack)？

分布式拒绝服务攻击是指具有多个（有时是无意的）攻击者的攻击。Web站点和应用程序的设计是为了处理许多并发连接毕竟，如果一次只能访问一个人，Web站点将不会非常有用。像Google、Facebook或Amazon这样的大型服务被设计成可以处理数百万或数千万的并发用户。因此，一个攻击者通过拒绝服务攻击击倒他们是不可行的。但许多袭击者可以。

相关报道：什么是僵尸网络？

招募攻击者的最常见方法是通过僵尸网络。在僵尸网络中，黑客会用恶意软件感染各种互联网连接设备。这些设备可以是电脑、**，甚至是家里的其他设备，比如DVR和安全摄像头。一旦感染，他们可以使用这些设备（称为僵尸）定期联系命令和控制服务器以请求指示。这些命令可以从挖掘加密货币到参与DDoS攻击。这样，他们不需要大量黑客联合起来，他们可以使用普通家庭用户不安全的设备来做他们肮脏的工作。

其他DDoS攻击可能是自愿执行的，通常出于政治动机。像低轨道离子炮这样的客户端使拒绝服务攻击变得简单，并且易于分发。请记住，（故意）参与DDoS攻击在大多数国家是非法的。

最后，一些DDoS攻击可能是无意的。最初被称为Slashdot效应，并被概括为“死亡拥抱”，巨大的合法流量可以瘫痪一个网站。你以前可能见过这种情况——一个流行的网站链接到一个小博客，大量用户的涌入意外地导致网站瘫痪。从技术上讲，这仍然被归类为DDoS，即使它不是故意或恶意的。

如何保护自己免受拒绝服务攻击？

典型用户不必担心成为拒绝服务攻击的目标。除了流光和专业玩家，DoS很难被指向个人。也就是说，你应该尽你所能保护你的所有设备免受恶意软件的伤害，而恶意软件可能会让你成为僵尸网络的一部分。

但是，如果您是web服务器的管理员，那么您可以获得大量有关如何保护服务免受DoS攻击的信息。服务器配置和设备可以减轻一些攻击。其他的可以通过确保未经验证的用户无法执行需要大量服务器资源的操作来防止。不幸的是，DoS攻击的成功往往取决于谁拥有更大的管道。Cloudflare和Incapsula等服务通过站在网站前提供保护，但可能会很贵。