一、为何要DDOS？ 

    跟着Internet互联网络带宽的增加和多种DDOS黑客工具的不停颁布，DDOS拒绝处事打击的实施越来越容易，DDOS打击事件正在成上升趋势。出于商业竞争、冲击反扑和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏处事器、聊天网络等网络处事商恒久以来一直被DDOS打击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法令纠纷、商业损掉等一系列问题，因此，解决DDOS打击问题成为网络处事商必需考虑的头等大事。 

二、什么是DDOS？ 

    DDOS是英文Distributed Denial of Service的缩写，意即“漫衍式拒绝处事”，那么什么又是拒绝处事（Denial of Service）呢？可以这么理解，通常能导致合法用户不能够访谒正常网络处事的行为都算是拒绝处事打击。也就是说拒绝处事打击的目的非常明确，就是要阻止合法用户对正常网络资源的访谒，从而达成打击者不成告人的目的。虽然同样是拒绝处事打击，但是DDOS和DOS还是有所差别，DDOS的打击计谋偏重于通过很多“僵尸主机”（被打击者入侵过或可间接操作的主机）向受害主机发送大量看似合法的网络包，从而造成网络梗阻或处事器资源耗尽而导致拒绝处事，漫衍式拒绝处事打击一旦被实施，打击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包覆没，导致合法用户无法正常访谒处事器的网络资源，因此，拒绝处事打击又被称之为“洪水式打击”，常见的DDOS打击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则偏重于通过对主机特定缝隙的操作打击导致网络栈掉效、系统瓦解、主机死机而无法供给正常的网络处事成果，从而造成拒绝处事，常见的DOS打击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝处事打击而言，风险较大的主要是DDOS打击，原因是很难防止，至于DOS打击，通过给主机处事器打补丁或安置防火墙软件就可以很好地防止，后文会详细介绍怎么搪塞DDOS打击。 

三、被DDOS了吗？ 

    DDOS的表示形式主要有两种，一种为流量打击，主要是针对网络带宽的打击，即大量打击包导致网络带宽被梗阻，合法网络包被虚假的打击包覆没而无法达到主机；另一种为资源耗尽打击，主要是针对处事器主机的打击，即通过大量打击包导致主机的内存被耗尽或CPU被内核及应用措施占完而造成无法供给网络处事。 

    如何判断网站是否遭受了流量打击呢？可通过Ping命令来测试，若发明Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量打击，此时若发明和你的主机接在同一交换机上的处事器也访谒不了了，根基可以确定是遭受了流量打击。固然，这样测试的前提是你随处事器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采纳Telnet主机处事器的网络处事端口来测试，效果是一样的。不过有一点可以必定，假如平时Ping你的主机处事器和接在同一交换机上的主机处事器都是正常的，俄然都Ping欠亨了或者是严重丢包，那么假如可以排除网络故障因素的话则必定是遭受了流量打击，再一个流量打击的范例现象是，一旦遭受流量打击，会发明用长途终端连接网站处事器会掉败。 

    相对付流量打击而言，资源耗尽打击要容易判断一些，假如平时Ping网站主机和访谒网站都是正常的，发明俄然网站访谒非常迟缓或无法访谒了，而Ping还可以Ping通，则很可能遭受了资源耗尽打击，此时若在处事器上用Netstat -na命令不雅察看到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定必定是遭受了资源耗尽打击。还有一种属于资源耗尽打击的现象是，Ping本身的网站主机Ping欠亨或者是丢包严重，而Ping与本身的主机在同一交换机上的处事器则正常，造成这种原因是网站主机遭受打击后导致系统内核或某些应用措施CPU操作率到达100%无法回应Ping命令，其实带宽还是有的，否则就Ping欠亨接在同一交换机上的主机了。 

    当前主要有三种风行的DDOS打击： 

    1、SYN/ACK Flood打击：这种打击要领是经典最有效的DDOS要领，可通杀各类系统的网络处事，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝处事，由于源都是伪造的故追踪起来对照困难，错误谬误是实施起来有必然难度，需要高带宽的僵尸主机撑持。少量的这种打击会导致主机处事器无法访谒，但却可以Ping的通，在处事器上用Netstat -na命令会不雅察看到存在大量的SYN_RECEIVED状态，大量的这种打击会导致Ping掉败、TCP/IP栈掉效，并会呈现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵制此种打击。