DDOS（Distributed Denial of Service），中文全称分布式拒绝服务

就是借助多台计算机作为平台来攻击服务器的一种方式的统称，DDOS攻击还包括 CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDOS攻击的网站会出现：网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率。[出自:jiwo.org]

在Kali Linux下，可以使用hping3发动DoS攻击。

以下介绍的攻击还可以混合.

    SYN Flood
    hping3 host -S --flood
    近年SYN Flood攻击中出现的1514字节的SYN报文大包类型攻击增加，让DDoS攻击变得更加复杂

    UDP Flood

    ACK Flood

反射攻击(Reflection Flood)

原理是攻击者伪造请求，将受害者IP地址作为请求源地址并将之发往互联网中大量存在协议漏洞的反射器，利用这些协议回应包字节数远大于请求包的特点，达到反射放大流量的效果，构成对目标网络的大流量DDoS攻击。由于不需要像传统僵尸网络那样对大量的攻击源进行事先感染和控制，因此发起此类大流量攻击的代价远远小于传统的DDoS攻击。目前已知流量放大倍数最高的反射攻击是Memcached，带宽放大倍数10000~51000。
（我不晓得这数字咋算出来的，反射放大攻击确实可怕）

    NTP Reflection Flood
    NTP Reflection Flood为传统类型反射攻击，无论是从攻击次数还是攻击总流量上来看，NTP Reflection Flood均占首位。反射器的数量和反射器的放大比例，通常是攻击者在选择反射类型的两个重要因素，由于网络存在大量公开IP地址的NTP服务器，且NTP反射攻击时的放大比例达到556.9，顾导致了近几年NTP类型的反射攻击的一直比较流行。

    SSDP Reflection Flood
    SSDP可用的反射器最多

    CHARGEN Reflection Flood

    SNMP Reflection Flood

    DNS Request Flood

    DNS Reflection Flood

    Memcached DRDoS
    2018年初，一种新型的反射攻击
    2018年3月1日AKamai宣称其客户遭遇了峰值为1.35Tbps的Memcached DRDoS攻击。
    Memcached是–个高性能的开源分布式内存对象缓存系统，主要用于提高Web应用的扩展性，能够有效解决大数据缓存的很多问题，在全球范围内都有广泛使用。Memcached 基于内存的key-value存储小块数据，并使用该数据完成数据库调用、API调用或页面渲染等。攻击者正是利用key-value这项功能构造了大流量的Memcached反射攻击。

下表引自US-Cert，详细列举了各类反射攻击的放大倍数

一些治理措施

    URPF(Unicast Reverse Path Forwarding)

    源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文，频繁访问目的地址所在设备或者主机；即使响应报文不能到达攻击者，也会对被攻击对象造成一定程度的破坏。
    URPF（Unicast Reverse Path Forwarding，单播逆向路径转发）的主要功能是用于防止基于源地址欺骗的网络攻击行为。路由器接口一旦使能URPF功能，当该接口收到数据报文时，首先会对数据报文的源地址进行合法性检查，对于源地址合法性检查通过的报文，才会进一步查找去往目的地址的转发表项，进入报文转发流程；否则，将丢弃报文。

    BCP 38/84策略
    BCP 38文档介绍：https://tools.ietf.org/html/bcp38
    BCP 84文档介绍： https://tools.ietf.org/html/bcp84

    服务器需及时打补丁或者升级到较新版本
    直接关闭了本不需要开启的服务

ddos有很多种，一种是Flood(像潮水一般，以力量取胜），还有是Malform(畸形报文，利用系统协议漏洞，以巧取胜）

还有一种放大反射攻击，例如我使用一个伪造IP的报文去访问dns服务器，dns服务器会根据报文里面的信息进行响应，dns服务器会向该ip发送信息，从而达到占用宽带的目的。

Syn泛洪攻击：它利用了tcp的三次握手机制，当服务端接收到一个syn请求时，协议软件必须利用一个监听队列将该连接保存一定时间。向服务端不停地发送syn,但是不响应syn+ack，这样消耗服务端的资源，然后服务端就不会响应正常用户的请求，从而达到拒绝服务攻击。

使用netstat -an -p tcp查看，如果SYN_RECV状态的连接非常多，说明有可能遭受攻击。

但是也有许多防御syn攻击的办法，例如首包丢弃，恶意黑名单，或者建立连接前使用一个门卫，也可以直接修改系统内核参数，在一定程度上进行保护。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已经具有破坏力了。


还有应用层的HTTP层次的ddos,其实只要能够达到拒绝服务的目的，都可以称之为ddos


ddos测试之检测。

当你发起了ddos攻击，除了使用tcpdump/wireshark进行查看网卡上的包之外，还可以通过一些其他方法来衡量系统状态。

1.vnstat -l -i eth4 使用vnstat查看这段时间网卡收发包的个数和流量。

2.使用top命令查看进程CPU百分比

3.使用free查看是否有内存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目录空间

6.查看关键进程是否重启 记录进程pid或者是查看进程开始时间。

7.查看是否有僵尸进程等 ps aux查看进程的状态， STAT列为Z的表示为僵尸进程
---------------------