DOS和DDOS的区别

DDOS是DOS攻击中的一种方法。

DoS：是Denial of Service的简称，即拒绝服务，不是DOS操作系统，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

DDOS：分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

举一个最通俗的例子，下面的图片是TCP的通信的三次握手，如果说攻击端，发送完第一次握手的数据后，然后就“消失”了，那么服务器就会不断的发送第二次握手的数据，可是攻击端的人找不到了。

于是，服务器的资源大量被消耗，直到死机为止。

当然要完全弄懂机制，需要对TCP有相当深入的了解。

事实上DOS的攻击方式有很多种，比如下面的常见的：

1、SYN FLOOD

利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。

当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。

如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。

其他合法用户的连接都被拒绝掉。

可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。

2、IP欺骗DOS攻击

这种攻击利用RST位来实现。

假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。

服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。

这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。

攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。

3、带宽DOS攻击

如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。

这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。

不过是初级DOS攻击。

4、自身消耗的DOS攻击

这是一种老式的攻击手法。

说老式，是因为老式的系统有这样的自身BUG。

比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。

这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。

使得主机给自己发送TCP请求和连接。

这种主机的漏洞会很快把资源消耗光。

直接导致当机。

这中伪装对一些身份认证系统还是威胁巨大的。

上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。

这些攻击方法都是建立在TCP基础上的。

还有其他的DOS攻击手段。

5、塞满服务器的硬盘

通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径，比如：

发送垃圾邮件。

一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。

破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。

让日志记录满。

入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。

同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。

向匿名FTP塞垃圾文件。

这样也可以塞满硬盘空间。

DDoS 缓解：反 DDoS 保护如何工作？

选择DDoS 缓解解决方案的第一步是评估您的风险。重要的基本问题包括：

哪些基础设施资产需要保护？

什么是软点或单点故障？

拿下他们需要什么？

您如何以及何时知道自己是目标？会不会太晚了？

延长停电的影响（财务和其他方面）是什么？

有了这些信息，就可以优先考虑您的问题，在您的安全预算框架内检查各种DDoS 缓解选项。

如果您正在运行商业网站或在线应用程序（例如，SaaS 应用程序、网上银行、电子商务），您可能需要 24×7、始终在线的保护。另一方面，大型律师事务所可能对保护其基础设施（包括电子邮件服务器、FTP 服务器和后台平台）比其网站更感兴趣。此类业务可能会选择“按需”解决方案。

第二步是选择部署方法。为整个子网中的核心基础设施服务部署按需DDoS 保护的最常见和最有效的方法是通过边界网关协议(BGP ) 路由。但是，这只能按需运行，需要您手动激活安全解决方案以防万一。

因此，如果您的Web 应用程序需要始终在线的 DDoS 保护，您应该使用 DNS 重定向通过 DDoS 保护提供商的网络（通常与内容交付网络集成）重新路由所有网站流量 (HTTP/HTTPS)， . 该解决方案的优势在于，大多数 CDN 提供了随叫随到的可扩展性以吸收容量攻击，同时最大限度地减少延迟并加速内容交付。

减轻网络层攻击

处理所需的网络层攻击需要额外的可扩展性——超出您自己的网络所能提供的。

因此，在发生攻击时，会发出BGP 公告以确保所有传入流量都通过一组清理中心进行路由。其中每一个都具有处理数百 Gbps 流量的能力。位于清理中心的强大服务器将过滤掉恶意数据包，只通过 GRE 隧道将干净的流量转发到源服务器。

这种缓解方法提供了针对直接IP 攻击的保护，并且通常与所有类型的基础设施和通信协议（例如，UDP、SMTP、FTP、VoIP）兼容。

防御NTP 放大攻击：180Gbps 和每秒 5000 万个数据包

减轻应用层攻击

应用层攻击的缓解依赖于可以按需扩展的流量分析解决方案，同时还能够区分恶意机器人和合法网站访问者。

对于流量分析，最佳实践要求基于签名和基于行为的启发式方法，结合IP 信誉评分和安全挑战（例如，JS 和 cookie 挑战）的渐进式使用。

缓解长达八天的HTTP 洪水：来自 180,000 个僵尸网络 IP 的 6.9 亿次 DDoS 请求

总之，这些可以准确地过滤掉恶意机器人流量，防止应用层攻击，而不会对您的合法访问者造成任何影响

---