DoS, Denial of Service, 拒绝服务，一种常用来使伺服器或网路瘫痪的网路攻击手段。

DDoS, Distributed Denial of Service, 分散式拒绝服务攻击，亦称作洪水攻击。

顾名思义，即是利用网路上已被攻陷的电脑作为“殭尸”，向某一特定的目标电脑发动密集式的“拒绝服务”要求，用以把目标电脑的网路资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。黑客通过将一个个“丧尸”或者称为“肉鸡”组成殭尸网路（即Botnet），就可以发动大规模DDoS或SYN洪水网路攻击，或者将“丧尸”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发，瘫痪预定目标，使僱主达到攻击竞争对手为目的的商业活动等。

DDoS攻击可以具体分成两种形式

频宽消耗型以及资源消耗型，都是透过大量合法或伪造的请求占用大量网路以及器材资源，以达到瘫痪网路以及系统的目的。

DDoS 频宽消耗攻击可以分为两个不同的层次洪泛攻击或放大攻击。洪泛攻击的特点是利用殭尸程式传送大量流量至受损的受害者系统，目的在于堵塞其频宽。放大攻击也与之类似，通过恶意放大流量限制受害者系统的频宽；其特点是利用殭尸程式传送信息，信息却是传送至广播 IP 地址，导致系统子网被广播 IP 地址连线上之后再传送信息至受害系统。

User Datagram Protocol (UDP) floodsUDP是一种无连线协定，当数据包通过 UDP 传送时，所有的数据包在传送和接收时不需要进行握手验证。当大量 UDP 数据包传送给受害系统时，可能会导致频宽饱和从而使得合法服务无法请求访问受害系统。遭受 DDoS UDP 洪泛攻击时，UDP 数据包的目的连线埠可能是随机或指定的连线埠，受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程式在目标连线埠运行，受害系统将对源IP发出 ICMP 数据包，表明“目标连线埠不可达”。某些情况下，攻击者会伪造源IP位址以隐藏自己，这样从受害系统返回的数据包不会直接回到殭尸主机，而是被传送到被伪造地址的主机。有时 UDP 洪泛攻击也可能影响受害系统周围的网路连线，这可能导致受害系统附近的正常系统遇到问题。，这取决于网路体系结构和线速。ICMP floodsICMP floods是通过向未良好设定的路由器传送广播信息占用系统资源的做法。ping of death是产生超过IP协定能容忍的分组数，若系统没有检查机制，就会当机。TearDrop每个数据要传送前，该分组都会经过切割，每个小切割都会记录位移的信息，以便重组，但此攻击模式就是捏造位移信息，造成重组时发生问题，造成错误。

协定分析攻击 (SYN flood)传送控制协定 (TCP) 同步 (SYN) 攻击。TCP 进程通常包括传送者和接受者之间在数据包传送之前创建的完全信号交换。启动系统传送一个 SYN 请求，接收系统返回一个带有自己 SYN 请求的 ACK （ 确认 ）作为交换。传送系统接着传回自己的 ACK 来授权两个系统间的通讯。若接收系统传送了 SYN 数据包，但没接收到 ACK，接受者经过一段时间后会传送新的 SYN 数据包。接受系统中的处理器和记忆体资源将存储该 TCP SYN 的请求直至逾时。DDoS TCP SYN攻击也被称为“资源耗尽攻击” ,它利用 TCP 功能将殭尸程式伪装的 TCP SYN 请求传送给受害伺服器，从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用传送系统和接收系统间的三向信号交换来传送大量欺骗性的原 IP 地址 TCP SYN 数据包给受害系统。最终，大量 TCP SYN 攻击请求反覆传送，导致受害系统记忆体和处理器资源耗尽，致使其无法处理任何合法用户的请求。LAND attack这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽资源而当机。CC 攻击CC 攻击是 DDoS 攻击的一种类型，使用代理伺服器向受害伺服器传送大量貌似合法的请求 （ 通常使用 HTTP GET )。CC (攻击黑洞)根据其工具命名，攻击者创造性地使用代理机制，利用众多广泛可用的免费代理伺服器发动 DDoS 攻击。许多免费代理伺服器支持匿名模式，这使追蹤变得非常困难。殭尸网路攻击殭尸网路是指大量被命令控制型 (C&C) 伺服器所控制的网际网路主机群。攻击者传播恶意软体并组成自己的殭尸网路。殭尸网路难于检测的原因是，殭尸主机只有在执行特定指令时才会与伺服器进行通讯，使得它们隐蔽且不易察觉。殭尸网路根据网路通讯协定的不同分为 IRC、HTTP 或 P2P类等。Application level floods与前面叙说的攻击方式不同，Application level floods主要是针对套用软体层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网路服务程式提出无节制的资源申请来迫害正常的网路服务。

20世纪90年代中晚期的DoS活动差不多都是基于利用作业系统里的各种软体缺陷。这些缺陷大都属于会导致软体或硬体无法处理例外的程式设计失误。这类威胁可以称为是杀手包或剧毒包(Killer Packet)型威胁，它主要是利用协定本身或者其软体实现中的漏洞，通过一些非正常的(畸形的)数据包使得受害者系统在处理时出现异常，导致受害者系统崩溃。由于这类威胁主要是利用协定或软体漏洞来达到威胁效果的，，有的也称这类威胁为漏洞威胁，也有称之为协定威胁(Protocol Attack)的。，由于这类威胁对不法者的运算能力或频宽没有要求，一个通过Modem连线的低档的PC机就可以攻破一个具有高频宽的大型系统。，这类威胁也是一种非对称DoS威胁。

随着系统的更新，网路安全技术的进步，在可供利用的安防漏洞越来越少的情况下，现代DoS威胁技术採取一种更直接的战术——消耗战(能力消耗、频宽消耗)，Flood型的威胁方式是这个战术的最好体现。

拒绝服务

这类威胁可以称为风暴型(Storm Type)或洪泛型(Flood Type)威胁，不法者通过大量的无用数据包占用过多的资源以达到拒绝服务的目的。这种威胁有时也称为频宽威胁(BandwidthAttack)，原因是其常常占用大量的频宽，即使有时威胁的最终目的是占用系统资源，但在客观上也会占用大量频宽。在这类威胁中，有害数据包可以是各种类型的，数据包中的数据也可以是多种多样的，这些数据包与正常服务的数据包是难以区分的。剧毒包威胁，利用协定实现的漏洞，全过程只需藉助于一个或少量的异常数据包即可达到目的；洪泛威胁的效果完全依赖于数据包的数量，仅当大量的数据包传到目标系统(受害者)时才有效。

这是一种基于DoS的特殊形式的拒绝服务威胁，是一种分布、协作的大规模威胁方式。不法者通过控制一定数量的傀儡机，向目标主机发起群体威胁，甚至多种威胁类型的混合威胁，这比单一主机发起的DoS威胁威力更大，效果更好。

DRDoS不同于以往的拒绝服务方式，它对DDoS作了改进，它是通过对正常的伺服器进行网路连线请求来达到破坏目的的。从TCP的三次握手中我们知道了任何合法的TCP连线请求都会得到返回数据包，而这种威胁方法就是将这个返回包直接返回到被害的主机上，这里涉及到数据包内的源口地址问题，就是利用数据包的口地址欺骗方法，欺骗被利用的网路伺服器，让此伺服器认为TCP请求连线都是被害主机上传送的，接着它就会传送“SYN+ACK”数据包给被害主机，恶意的数据包就从被利用的伺服器“反射”到了被害主机上，形成洪水威胁。

与所有的拒绝服务（DOS）攻击相关的一件事是他们都不可能避免。最好的方法是把重点放在减少影响DOS攻击的方法上。如果你有一个网路，黑客想要玩一玩它（在最好的情况)，以及攻击(在最坏的情况)。

有一件最具前瞻性的事情是你可以去做的，那就是不要给任何人提供一种在web伺服器和套用中可以轻易找到，并且容易利用DOS缺陷的方法。最近我负责一个项目，涉及到一个网站的一个页面，被认为容易受到匿名HTTP代理请的攻击。

减少DoS攻击影响的一件最重要的事情是制定计画。提前考虑如何管理费用安全漏洞，一旦攻击出现，你就可以让事情自动得到处理。