迄今為止，仍然有很多用戶，對(duì)于什么是“DoS攻擊”，什么是“DDoS攻擊”，還傻傻分不清楚。我們只有客觀、深入地認(rèn)識(shí)和了解這兩種攻擊的原理、區(qū)別與聯(lián)系，才能更好地做好相應(yīng)的防范措施。今天，就給各位用戶具體講解一下DoS攻擊與DDoS攻擊的區(qū)別與聯(lián)系，這兩種攻擊方式，哪個(gè)對(duì)于目標(biāo)主機(jī)的危害和破壞性更大？

一、什么是DoS攻擊？

DoS是“Denial of Service”的簡(jiǎn)稱，中文意思即“拒絕服務(wù)”，造成DoS的攻擊行為被稱為“DoS攻擊”，其目的是使計(jì)算機(jī)/服務(wù)器或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有“計(jì)算機(jī)網(wǎng)絡(luò)的帶寬攻擊”和“連通性攻擊”。

DoS攻擊，是指故意攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷，或直接通過野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)、服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括“網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者允許的連接”。這種攻擊會(huì)導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的CPU處理速度有多快、內(nèi)存容量有多大、網(wǎng)絡(luò)帶寬的速度有多快，都無法避免這種攻擊帶來的后果

從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞系統(tǒng)的正常運(yùn)行，最終它會(huì)致使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。

二、DoS攻擊的原理：

DoS攻擊是利用TCP協(xié)議“三次握手”的缺陷進(jìn)行的?；赥CP協(xié)議的通信，在通信之前，首先要協(xié)商，這個(gè)協(xié)商過程就是以“三次握手”實(shí)現(xiàn)的。正常情況下，客戶端發(fā)送一個(gè)SYN數(shù)據(jù)包，說明要進(jìn)行通信了；服務(wù)器收到該SYN包后，回應(yīng)一個(gè)ACK確認(rèn)包；客戶端再回應(yīng)一個(gè)確認(rèn)包。這樣三次握手就協(xié)商完成了，下面就會(huì)正式進(jìn)行通信。當(dāng)黑客要進(jìn)行DoS攻擊時(shí)，他會(huì)操縱很多僵尸主機(jī)向被攻擊的服務(wù)器發(fā)送SYN數(shù)據(jù)包，當(dāng)服務(wù)器回復(fù)ACK確認(rèn)包后，僵尸主機(jī)則不再回應(yīng)，這樣服務(wù)器就會(huì)保持這種“半連接”的狀態(tài)進(jìn)行等待。每一個(gè)這樣的“半連接”狀態(tài)，都會(huì)耗費(fèi)服務(wù)器的資源，如果有數(shù)量極大的“半連接”，服務(wù)器就會(huì)停止正常工作了。

接收到SYN包，而還沒有回復(fù)確認(rèn)接收到ACK包時(shí)的連接狀態(tài)，稱為“半連接”，即尚未完全完成三次握手的TCP連接。

三、什么是DDoS攻擊？

DDoS( 英文全稱： Distributed Denial of Service，縮寫：DDoS )，翻譯成中文，意思是“分布式拒絕服務(wù)”。DDoS攻擊，是一種耗盡攻擊目標(biāo)的系統(tǒng)資源，導(dǎo)致攻擊目標(biāo)無法響應(yīng)正常服務(wù)請(qǐng)求的網(wǎng)絡(luò)攻擊方式。這種攻擊手法通過借助于“客戶/服務(wù)器”技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或者多個(gè)目標(biāo)發(fā)動(dòng)攻擊。

DDoS攻擊，是基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像一些大型企業(yè)和政府部門的站點(diǎn)。

四、DDoS攻擊的原理

DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

1、攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。

2、主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。

3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。

攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。

五、DoS攻擊和DDoS攻擊的區(qū)別與聯(lián)系

DoS是“拒絕服務(wù)攻擊”，而DDoS是“分布式拒絕服務(wù)攻擊”；DoS攻擊與DDoS攻擊都是攻擊目標(biāo)服務(wù)器、網(wǎng)絡(luò)服務(wù)的一種方式。DoS攻擊，是利用自己的計(jì)算機(jī)攻擊目標(biāo)，是一對(duì)一的關(guān)系；而DDoS攻擊是在DoS攻擊的基礎(chǔ)之上，產(chǎn)生的一種新的攻擊方式。DDoS攻擊，利用控制成百上千臺(tái)“肉雞”（傀儡機(jī)），組成一個(gè)DDoS攻擊群，在同一時(shí)刻對(duì)目標(biāo)主機(jī)發(fā)起攻擊。

從技術(shù)上來說，DoS攻擊和DDoS攻擊都是攻擊目標(biāo)服務(wù)器的帶寬和連通性，使得目標(biāo)服務(wù)器的帶寬資源和系統(tǒng)資源耗盡，從而無法正常運(yùn)行。

今天最常見的DoS攻擊，有對(duì)“計(jì)算機(jī)網(wǎng)絡(luò)的帶寬攻擊”和“連通性攻擊”。帶寬攻擊，是指以極大的通信量沖擊網(wǎng)絡(luò)，使得目標(biāo)主機(jī)所有可用的帶寬資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求無法通過。連通性攻擊，是指用大量的連接請(qǐng)求沖擊目標(biāo)服務(wù)器，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終目標(biāo)服務(wù)器無法再進(jìn)行處理合法用戶的請(qǐng)求。

攻擊者所面臨的主要問題是網(wǎng)絡(luò)帶寬，由于較小的網(wǎng)絡(luò)規(guī)模和較慢的網(wǎng)絡(luò)速度所限制，攻擊者無法在同一時(shí)間發(fā)出過多的請(qǐng)求。雖然類似“the ping of death”（死亡之ping）的攻擊類型，只需要較少量的包，就可以摧毀一個(gè)沒有打過補(bǔ)丁的UNIX系統(tǒng)，但大多數(shù)的DoS攻擊，還是需要相當(dāng)大的網(wǎng)絡(luò)帶寬，而以個(gè)人為單位的黑客們很難使用高帶寬的資源，為了克服這個(gè)缺點(diǎn)，DoS攻擊者開發(fā)了分布式的攻擊。攻擊者非法侵入并控制一些主機(jī)，并利用這些受控制的主機(jī)，組成一個(gè)攻擊集群，在同一時(shí)間對(duì)同一個(gè)目標(biāo)發(fā)動(dòng)大量的攻擊請(qǐng)求，這就是DDoS攻擊（分布式拒絕服務(wù)攻擊）。

無論是DoS攻擊還是DDoS攻擊，簡(jiǎn)單的來說，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客攻擊方式，雖然具體的實(shí)現(xiàn)方式有所不同，但都有一個(gè)共同點(diǎn)，那就是其根本目的都是，使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界的請(qǐng)求。具體的表現(xiàn)方式有以下幾種：

1、制造大流量無用的數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信。

2、利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的大量重復(fù)服務(wù)請(qǐng)求，使得被攻擊主機(jī)無法及時(shí)處理其它正常的請(qǐng)求。

3、利用被攻擊主機(jī)所提供的服務(wù)程序或傳輸協(xié)議本身的實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)，引發(fā)系統(tǒng)錯(cuò)誤的分配大量資源，使主機(jī)處于掛起狀態(tài)甚至癱瘓死機(jī)。

與DoS一對(duì)一的攻擊不同的是，DDoS攻擊是利用一批受控制的機(jī)器，向同一臺(tái)目標(biāo)主機(jī)發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊往往令人難以防備，因而DDoS攻擊具有較大的威脅和破壞性。

為了更加精準(zhǔn)有效地防御DDoS攻擊，并降低用戶的防御成本，主機(jī)吧為客戶提供了百度云加速高防CDN、高防IP、高防服務(wù)器等解決方案，可全面有效的解決用戶被DDOS困擾。