本文首先介绍了网络攻击对目前网络安全的影响及分布式拒绝服务攻击的工作原理和现状，接着分析了分布式拒绝服务的攻击类型，并探析新型攻击类型的核心技术和防范对策。将新型的DDOS的3 类攻击方式：基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式进行了探析，最后给出攻击方式相应的安全策略和防御对策。

　　一、背景

　　随着网络技术的发展，人们的生活和工作已经 同它密不可分，人们在享受信息技术所带来便捷的 同时，也遭受着各类网络信息被黑客恶意攻击、信息 被窃取等不同形式的网络攻击，并且这种攻击变得 越来越严重。网络上的恶意攻击实际上就是寻找一 切可能存在的网络安全缺陷来达到对系统及资源的 损害，从而达到恶意的目的。分布式拒绝服务攻击 （以下称 DDOS） 就是从1996 年出现，在中国 2002 年开始频繁出现的一种攻击方式。

　　分布式拒绝服务攻击（DDOS 全名是 Distribut- ed Denial of service），DDOS 攻击手段是在传统的DoS 攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的，当攻击目标 CPU 速度低、内存小或者网络带宽小等等各项性 能指标不高它的效果是明显的。

　　随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存 大大增加，同时也出现了千兆级别的网络，这使得 DOS 攻击的困难程度加大了，目标对恶意攻击包的 " 消化能力 " 加强了不少，例如：你的攻击软件 每秒钟可以发送4000 个攻击包，但我的主机与网 络带宽每秒钟可以处理 20000 个攻击包，这样一来 攻击就不会产生什么效果。 分布式拒绝服务攻击使用了分布式客户服务器 功能，加密技术及其它类的功能，它能被用于控制任 意数量的远程机器，以产生随机匿名的拒绝服务攻 击和远程访问。为了有效防范网络入侵和攻击，就必 须熟悉网络入侵和攻击的手段和原理，在此基础上 才能制定行之有效的防范对策和防御措施，从而确 保网络信息的安全。

　　二、DDOS攻击的现象及攻击方式

　　目前防火墙技术、性能的提升、计算机安全检测方式的多样化、网络拓扑结构的不断优化，计算机网络系统的安全性能得到了一定程度的提升。传统的DOS攻击已经很难起到多大的效果。

　　2011 年5月30日，美国政府表示，已经向全球最大军火商洛克希德 - 马丁公司（以下简称“洛马”）提供帮助，克服网络攻击带来的负面影响。洛马5 月21日宣布，该公司的计算机网络持续遭遇“猛烈攻击”。美国国土安全部的一名发言人称，该部及国防部已经了解洛马遭遇网络攻击，并向该公司提供帮助。网 络安全使 们每时每刻都关心的问题，因为我们的生活已经与它有越来越多的交集。被DDOS攻击时的现象是能瞬间造成对方电脑死机或者假死，我曾经测试过，攻击不到1 秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音，主要攻击方式包括：TCP 全连接攻击、SYN 变种攻击、TCP混乱数据包攻击、针对用UDP协议的攻击、针对WEB Server的多连接攻击及变种攻击、针对游戏服务器的攻击。新型的DDOS攻击方式大致分为3类：基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式。为便于说明， 以下特别以寄信者（攻击者）—邮局（硬件防火墙） —收信者（服务器）作为事例辅助说明。

　　（一）基于堵流量的攻击方式

　　这类攻击方式伤人先伤己，牺牲自己的带宽流 量去堵别人的带宽流量，造成他人无法访问。就好象 某个寄信者通过邮局给你寄了数量极其庞大的垃圾 信件，而收件者的信箱容量是有限的，从而导致收信 者的信箱被塞满，其他的正常信件无法投递过来。

　　1.SYN 变种攻击模式

　　这种攻击方式发送伪造源 IP 的 SYN 数据包，与传统的 SYN 攻击不同的是，它的数据包不是过去 的六十四字节，而是多达上千字节，这样的攻击方式 会造成一些防火墙处理错误进而导致锁死，在消耗 掉服务器 CPU 和内存的同时还会阻塞网络带宽。除 此之外，还可以通过发送伪造源 IP 的 TCP 数据包， 并且在 TCP 头的 TCP 标志位进行随机设置，造成其 标志位的混乱。而再强大的防火墙的数据吞吐量也 是有限的，因此在这样的攻击方式面前，防火墙常常无计可施。

　　2.TCP 并发攻击模式

　　每台电脑的套接字数量都是有限的，Windows 规定每个应用程序最大使用的套接字数量是 1024 个。这种攻击方式就是利用了Windows的 这一特 性，在短时间内不断对目标主机的特定端口创建TCP 连接，消耗其套接字资源，直到其用尽为止。这样也就导致此端口无法正常提供服务了。这种攻击是为了绕过常规防火墙的检查而设计的，因为常规的防火墙大多具 备如SYN、UDP、ICMP 等传统的DDOS 攻击的防御过滤功能，但对于正常的TCP连接是放过的。