分布式拒絕服務(wù)(DDoS)攻擊已成為當(dāng)今企業(yè)反復(fù)出現(xiàn)的問(wèn)題。這些網(wǎng)絡(luò)攻擊在規(guī)模和復(fù)雜性上不斷發(fā)展和擴(kuò)大。近期的多項(xiàng)研究和備受矚目的違規(guī)事件表明，DDoS攻擊的頻率每年甚至每個(gè)季度都在上升。

什么是DDoS攻擊？DDoS攻擊是一種網(wǎng)絡(luò)攻擊形式，它通過(guò)淹沒(méi)特定網(wǎng)絡(luò)或服務(wù)器使其不堪重負(fù)并最終使其脫機(jī)。當(dāng)服務(wù)器收到超出其容量的大量請(qǐng)求時(shí)，它無(wú)法響應(yīng)合法請(qǐng)求，從而導(dǎo)致“拒絕服務(wù)”。

DDoS攻擊可以采取幾種不同的形式。對(duì)它們進(jìn)行分類的一種方法是基于OSI模型。OSI（開(kāi)放系統(tǒng)互連）模型是一個(gè)概念框架，描述了不同計(jì)算機(jī)系統(tǒng)之間應(yīng)如何進(jìn)行網(wǎng)絡(luò)通信。該模型由國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 在 1980 年代開(kāi)發(fā)，由七層組成，每一層都有特定的功能。 

1、應(yīng)用層DDoS攻擊

應(yīng)用層負(fù)責(zé)為最終用戶提供服務(wù)，例如電子郵件、網(wǎng)頁(yè)瀏覽、文件傳輸和其他網(wǎng)絡(luò)應(yīng)用程序。這是消息和數(shù)據(jù)包創(chuàng)建開(kāi)始的層，也是數(shù)據(jù)庫(kù)訪問(wèn)所在的層。FTP、SMTP、Telnet和RAS等最終用戶協(xié)議也在這一層工作。 

DDoS攻擊可以針對(duì)OSI模型的應(yīng)用層（第7層），目標(biāo)是壓倒Web 服務(wù)器或應(yīng)用程序。應(yīng)用層DDoS攻擊包括HTTP（超文本傳輸協(xié)議）GET、HTTP POST和基于網(wǎng)站表單的攻擊。這些攻擊可能導(dǎo)致該層最終達(dá)到其資源能力的極限。 

例如，HTTP慢速攻擊（也稱為Slowloris攻擊）通過(guò)利用HTTP協(xié)議中的漏洞以Web服務(wù)器為目標(biāo)。攻擊的原理是向目標(biāo)服務(wù)器發(fā)送大量不完整的HTTP請(qǐng)求，然后盡可能長(zhǎng)時(shí)間地保持這些請(qǐng)求處于打開(kāi)狀態(tài)，而不會(huì)完成它們。 

同時(shí)，HTTP Flood通過(guò)向Web服務(wù)器發(fā)送大量HTTP請(qǐng)求來(lái)攻擊它們，目的是使服務(wù)器不堪重負(fù)并使其對(duì)合法用戶不可用。高流量會(huì)消耗服務(wù)器的資源，例如CPU、內(nèi)存和網(wǎng)絡(luò)帶寬，導(dǎo)致服務(wù)器變慢或崩潰。  

2、網(wǎng)絡(luò)層DDoS攻擊

在OSI模型中，網(wǎng)絡(luò)層是處理數(shù)據(jù)包在不同網(wǎng)絡(luò)之間的路由和轉(zhuǎn)發(fā)的層，它提供邏輯尋址和流量控制。 

DDoS攻擊也可以針對(duì)OSI模型的這個(gè)網(wǎng)絡(luò)層（第3層），目的是消耗目標(biāo)的網(wǎng)絡(luò)帶寬。網(wǎng)絡(luò)層DDoS攻擊包括ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）泛洪、ARP泛洪和IP（互聯(lián)網(wǎng)協(xié)議）分片攻擊等攻擊。 

ICMP Flood以ICMP協(xié)議為目標(biāo)，該協(xié)議用于IP網(wǎng)絡(luò)中的診斷和錯(cuò)誤報(bào)告目的。在這種類型的攻擊中，攻擊者向目標(biāo)系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量ICMP數(shù)據(jù)包，使系統(tǒng)資源不堪重負(fù)。  

ARP（地址解析協(xié)議）泛洪針對(duì)ARP協(xié)議，該協(xié)議用于將IP地址映射到本地網(wǎng)絡(luò)上的物理地址。在ARP Flood攻擊中，攻擊者發(fā)送大量的ARP請(qǐng)求來(lái)淹沒(méi)網(wǎng)絡(luò)，使網(wǎng)絡(luò)不可用。 

IP碎片攻擊針對(duì)IP協(xié)議，該協(xié)議用于跨網(wǎng)絡(luò)路由數(shù)據(jù)包。在這種攻擊中，攻擊者將數(shù)據(jù)包發(fā)送到目標(biāo)系統(tǒng)或網(wǎng)絡(luò)，這些數(shù)據(jù)包被故意分段，導(dǎo)致目標(biāo)系統(tǒng)或網(wǎng)絡(luò)使用過(guò)多的資源來(lái)重新組合它們。 

這些攻擊的最終結(jié)果是對(duì)防火墻施加額外負(fù)載并損害可用網(wǎng)絡(luò)帶寬。 

3、傳輸層DDoS攻擊

傳輸層確保在終端系統(tǒng)（例如計(jì)算機(jī)或服務(wù)器）之間可靠、無(wú)差錯(cuò)地傳送數(shù)據(jù)。它還提供錯(cuò)誤檢測(cè)、流量控制和擁塞避免機(jī)制，并管理從第1層到第3層的消息傳輸。 

這些攻擊以O(shè)SI模型的傳輸層（第4層）為目標(biāo)，目的是使目標(biāo)的服務(wù)器或網(wǎng)絡(luò)設(shè)備過(guò)載。傳輸層DDoS攻擊包括 SYN（同步）泛洪、TCP（傳輸控制協(xié)議）泛洪和UDP（用戶數(shù)據(jù)報(bào)協(xié)議）泛洪。傳輸層攻擊可能導(dǎo)致限制到達(dá)帶寬或主機(jī)或網(wǎng)絡(luò)設(shè)備的連接。

SYN Flood以TCP（傳輸控制協(xié)議）協(xié)議為目標(biāo)，該協(xié)議用于在網(wǎng)絡(luò)上的設(shè)備之間建立連接。在SYN Flood 攻擊中，攻擊者向目標(biāo)系統(tǒng)發(fā)送大量的TCP SYN請(qǐng)求，但沒(méi)有完成連接，使連接處于半開(kāi)狀態(tài)，使系統(tǒng)資源不堪重負(fù)。

類似地，TCP Flood通過(guò)向目標(biāo)系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量TCP數(shù)據(jù)包來(lái)針對(duì)TCP協(xié)議，以消耗系統(tǒng)資源并使其不可用。UDP Flood針對(duì)的是UDP協(xié)議，該協(xié)議用于低延遲、容錯(cuò)通信。