分布式拒絕服務（DDoS）攻擊是一種惡意企圖，通過大量互聯網流量壓倒目標或其周圍的基礎架構來破壞目標服務器，服務或網絡的正常流量。DDoS攻擊通過利用多個受損計算機系統作為攻擊流量來源來實現有效性。被利用的機器可以包括計算機和其他網絡資源，例如物聯網設備。從高層次來看，DDoS攻擊就像堵塞高速公路的交通堵塞，阻止了常規交通到達其所需的目的地。

DDoS攻擊如何工作？

DDoS攻擊需要攻擊者控制在線計算機網絡才能進行攻擊。計算機和其他計算機（如物聯網設備）感染了惡意軟件，將每個計算機轉變為機器人（或僵尸）。然后，攻擊者可以遠程控制僵尸程序組，這稱為僵尸網絡。

一旦僵尸網絡建立，攻擊者就可以通過遠程控制方法向每個機器人發送更新的指令來指導機器。當受害者的IP地址被僵尸網絡作為目標時，每個僵尸程序將通過向目標發送請求來響應，可能導致目標服務器或網絡溢出容量，從而導致對正常流量的拒絕服務。由于每個機器人都是合法的Internet設備，因此將攻擊流量與正常流量分開可能很困難。

DDoS攻擊如何工作？

雖然幾乎所有DDoS攻擊都涉及壓倒目標設備或網絡流量，但攻擊可分為三類。攻擊者可以使用一個或多個不同的攻擊向量，或者可能基于目標采取的反制措施來循環攻擊向量。

應用層攻擊

攻擊的目標：

有時被稱為第7層DDoS攻擊（參考OSI模型的第7層），這些攻擊的目標是耗盡目標的資源。攻擊的目標是在服務器上生成網頁并響應HTTP請求而傳遞的層。單個HTTP請求在客戶端執行起來很便宜，并且目標服務器響應起來可能很昂貴，因為服務器通常必須加載多個文件并運行數據庫查詢才能創建網頁。第7層攻擊難以防御，因為流量很難被標記為惡意攻擊。

應用層攻擊示例：HTTP Flood

此攻擊類似于同時在多個不同計算機上反復按Web瀏覽器中的刷新 - 大量HTTP請求泛濫服務器，導致拒絕服務。

這種類型的攻擊范圍從簡單到復雜。更簡單的實現可以訪問具有相同范圍的攻擊IP地址，引用者和用戶代理的一個URL。復雜版本可能使用大量攻擊性IP地址，并使用隨機引用和用戶代理來定位隨機URL。

協議攻擊

攻擊的目標：

協議攻擊（也稱為狀態耗盡攻擊）通過消耗Web應用程序服務器或防火墻和負載平衡器等中間資源的所有可用狀態表容量來導致服務中斷。協議攻擊利用協議棧的第3層和第4層中的弱點來使目標不可訪問。

預防DDoS的方法：

1、保證服務器系統的安全

首先要確保服務器軟件沒有任何漏洞，防止攻擊者入侵。確保服務器采用最新系統，并打上安全補丁。在服務器上刪除未使用的服務，關閉未使用的端口。對于服務器上運行的網站，確保其打了最新的補丁，沒有安全漏洞。

2、隱藏服務器的真實IP地址

不要把域名直接解析到服務器的真實IP地址，不能讓服務器真實IP泄漏，服務器前端加CDN中轉（免費的CDN一般能防止5G左右的DDOS），如果資金充裕的話，可以購買高防的盾機，用于隱藏服務器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。