什么是DDoS攻击

　　DDoS英文为 Distributed Denial of service(分布式拒绝服务)是一种大流量的的网络异常攻击,其对网络的破坏力是惊人的,将会造成巨大的损失，DDoS流量来源似乎是来世界各个角落的僵尸网络，而这些僵尸网络我们又称为“肉鸡”。DDoS威胁中最基本的攻击是针对网络链中最薄弱的环节发起的简单网络攻击。这些攻击被称为“淹没(flood)”，它驾驭众多客户端向预定目标发送极其大量的网络流量。有时，目标本身会缴械投降，有时目标前端的某个设备(例如高防服务器)会俯首称臣，但流量是相同的—合法的流量被拒绝提供服务，通过控制多个客户端，攻击者可以放大攻击量，也使得其非常难以被封锁，其中SYNflood和连接flood(connflood)是此类最简单的分布式攻击的典型代表。

　　DDoS攻击的类型

　　DDOS攻击可以分为两类，一类是基于网络的DDOS攻击，这种是早期DDOS攻击的主要形式;一类是基于应用的DDOS攻击，这种是目前流行的攻击方法，其更容易实施且危害性更大。

　　基于网络的DDOS攻击

　　1.SYN/ACKFlood攻击

　　这种攻击方法是经典的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat-na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。

　　SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

　　2.TCP 全连接攻击

　　和 SYN 攻击不同，它是用合法并完整的连接攻击对方，SYN 攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的 DDOS 软件中非常常见，有 UDP 碎片还有SYN 洪水，甚至还有 TCP 洪水攻击，这些攻击都是针对服务器的常见流量攻击。而高防服务器能有效识别出这种的攻击类型并作出有效的防御。

解决方法可以通过CDN隐藏源IP或者选择高防御服务器