資料庫必知詞彙：分布式拒絕服務攻擊(DDoS)

分布式拒絕服務攻擊(Distributed Denial of Service Attack, DDoS) 是指處于不同位置的多個攻擊者同時向一個或數個目标發動攻擊，或者一個攻擊者控制了位于不同位置的多台機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個。

分布式拒絕服務攻擊可以使很多的計算機在同一時間遭受到攻擊，使攻擊的目标無法正常使用，分布式拒絕服務攻擊已經出現了很多次，導緻很多的大型網站都出現了無法進行操作的情況，這樣不僅僅會影響使用者的正常使用，同時造成的經濟損失也是非常巨大的。

分布式拒絕服務攻擊方式在進行攻擊的時候，可以對源IP位址進行僞造，這樣就使得這種攻擊在發生的時候隐蔽性是非常好的，同時要對攻擊進行檢測也是非常困難的，是以這種攻擊方式也成為了非常難以防範的攻擊。

分布式拒絕服務攻擊原理分布式拒絕服務攻擊DDoS是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網絡協定和作業系統的一些缺陷，采用欺騙和僞裝的政策來進行網絡攻擊，使網站伺服器充斥大量要求回複的資訊，消耗網絡帶寬或系統資源，導緻網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單台主機發起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、甚至數千台被入侵後安裝了攻擊程序的主機同時發起的集團行為。

一個完整的DDoS攻擊體系由攻擊者、主要端、代理端和攻擊目标四部分組成。主要端和代理端分别用于控制和實際發起攻擊，其中主要端隻釋出指令而不參與實際的攻擊，代理端發出DDoS的實際攻擊包。對于主要端和代理端的計算機，攻擊者有控制權或者部分控制權．它在攻擊過程中會利用各種手段隐藏自己不被别人發現。真正的攻擊者一旦将攻擊的指令傳送到主要端，攻擊者就可以關閉或離開網絡．而由主要端将指令釋出到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目标主機發送大量的服務請求資料包，這些資料包經過僞裝，無法識别它的來源，而且這些資料包所請求的服務往往要消耗大量的系統資源，造成目标主機無法為使用者提供正常服務。甚至導緻系統崩潰。

DDoS的表現形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導緻網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導緻主機的記憶體被耗盡或CPU被核心及應用程式占完而造成無法提供網絡服務。

當被DDoS攻擊時，主要表現為：

(1)被攻擊主機上有大量等待的TCP連接配接。(2)網絡中充斥着大量的無用的資料包，源位址為假。(3)制造高流量無用資料，造成網絡擁塞，使受害主機無法正常和外界通訊。(4)利用受害主機提供的服務或傳輸協定上的缺陷，反複高速地發出特定的服務請求，使受害主機無法及時處理所有正常請求。(5)嚴重時會造成系統當機。

資料來源：

徐澄宇.分布式拒絕服務攻擊研究[J].科技創新與應用,2013,(31):60-60.

李仲龍,司瑾.分布式拒絕服務攻擊淺析[J].電腦知識與技術,2010,6(10):2373-2374. DOI:10.3969/j.issn.1009-3044.2010.10.030.

李坤.分布式拒絕服務攻擊概述[J].黑龍江科技資訊,2010,(29):82. DOI:10.3969/j.issn.1673-1328.2010.29.079.

郝夢岩,屠全良.分布式拒絕服務攻擊(DDoS)及對策[J].太原大學學報,2009,10(1):127-129. DOI:10.3969/j.issn.1671-5977.2009.01.034.

湯麗娟.分布式拒絕服務攻擊的研究[J].福建電腦,2010,26(8):98-99. DOI:10.3969/j.issn.1673-2782.2010.08.046.