‌DDoS 攻击（Distributed Denial of Service，分布式拒绝服务攻击）‌是一种通过控制大量网络设备（如个人电脑、服务器、物联网设备等）向目标发送海量请求，导致目标系统或网站资源耗尽，无法正常提供服务的攻击方式。DDoS 攻击的前身是 DoS 攻击（Denial of Service，拒绝服务攻击），但 DDoS 通过分布式的方式显著增强了攻击的规模和复杂性。‌

DDoS 攻击的基本原理

DDoS 攻击通过控制大量的网络设备（称为 “傀儡机” 或 “僵尸网络”），这些设备被攻击者利用恶意软件或系统漏洞控制。攻击者通过主控端发布指令，代理端实际发起攻击。这些请求通常伪装成正常的网络流量，难以区分，从而导致目标系统资源耗尽，无法正常响应合法用户的请求。

DDoS 攻击可以分为以下几类‌

流量消耗型攻击‌

‌UDP Flood‌：攻击者向目标服务器发送大量的 UDP 数据包，由于 UDP 是无连接的协议，服务器无法验证请求的来源，导致带宽和计算资源被大量消耗‌

‌ICMP Flood‌：通过发送大量的 ICMP Echo Request 包，伪造源 IP 地址，使目标服务器响应大量的 ICMP Echo Reply 包，消耗带宽和处理能力‌

‌DNS Amplification‌：攻击者向开放的 DNS 服务器发送伪造的 DNS 请求，利用 DNS 响应放大流量，迅速耗尽目标的带宽和资源‌

‌连接型攻击‌

‌SYN Flood‌：利用 TCP 的三次握手机制，发送大量 TCP SYN 包到目标服务器，但不完成握手过程，耗尽服务器的连接队列‌

‌ACK Flood‌：发送大量带有超大载荷的 ACK 报文，引起链路拥塞‌

‌IP 分片攻击‌：通过发送恶意分片的数据包，耗尽目标网络资源‌

应用层攻击‌

‌HTTP Flood‌：发送大量 HTTP 请求，使服务器无法响应正常流量‌

‌CC 攻击‌：通过模拟正常用户行为，发送大量请求使服务器过载‌

‌DNS Flood‌：破坏 DNS 解析，导致业务中断‌

防御措施

针对不同类型的 DDoS 攻击，可以采取以下防御措施：

‌防火墙过滤‌：配置防火墙丢弃无效的 UDP 数据包和伪造的 ICMP 请求‌

‌流量分析和速率限制‌：监控网络流量，设置阈值，自动检测并限制流量‌

‌基于状态的过滤‌：仅允许特定端口或协议的数据包，减少不必要的流量‌

‌ICMP 请求速率限制‌：限制每秒允许的 ICMP 请求数量，防止伪造源地址的 ICMP 包‌

‌DNS 请求速率限制‌：限制 DNS 查询的频率，禁用开放 DNS 解析‌