DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。
DDoS攻击原理: 通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。常 见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常见的一种,其原理是TCP协议设计中得缺陷(3次握手)。
在SYN flood攻击时,首先伪造大量的源IP地址,分别向服务器发送的大量的SYN包,服务器会返回ACK/SYN包,但是IP是伪造的,所以服务器是不会受 到应答的,会重试3-5次,并且等待一个SYN time(一般是39秒到2分钟),如果超时则丢弃这个连接。攻击者发送大量的这种伪造源地址的SYN请求,服务端会消耗很多的资源(CPU和内存)来处 理这种半连接,同时还要对这些请求进行SYN/ACK重试,最后的结果就是服务器无暇理睬正常的连接请求,导致拒绝服务。
