DDoS功擊是目前最常見的一種網路功擊手段，隨著互聯網路帶寬的增加和多種DDOS黒客工具的不斷發布，DDOS拒絕服務功擊的實施越來越容易，DDOS功擊事件正在成上升趨勢。DDoS功擊有許多不同的類型，有些DDOS功擊通過架構優化、伺服器加固等簡單的常規手段就可以進行防禦，而有些厲害的DDOS功擊類型就只能通過接入墨者安全這樣的商業DDOS高防服務才可以有效的防護了。哪種類型的DDoS功擊最難防禦呢？墨者安全通過多年高防經驗，來分享一下最恐怖的DDOS功擊類型有哪些？

1、TCP洪水功擊（SYN Flood）

TCP洪水功擊是當前最流行的DoS（拒絕服務功擊）與DDoS（分散式拒絕服務功擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，常用假冒的IP或IP號段發來海量的請求連接的第一個握手包（SYN包），被功擊伺服器回應第二個握手包（SYN+ACK包），因為對方是假冒IP，對方永遠收不到包且不會回應第三個握手包。導致被功擊伺服器保持大量SYN_RECV狀態的「半連接」，並且會重試默認5次回應第二個握手包，塞滿TCP等待連接隊列，資源耗盡（CPU滿負荷或內存不足），讓正常的業務請求連接不進來。

2、反射性功擊（DrDoS）

反射型的 DDoS 功擊是一種新的變種，與DoS、DDoS不同，該方式靠的是發送大量帶有被害者IP地址的數據包給功擊主機，然後功擊主機對IP地址源做出大量回應，形成拒絕服務功擊。黒客往往會選擇那些響應包遠大於請求包的服務來利用，這樣才可以以較小的流量換取更大的流量，獲得幾倍甚至幾十倍的放大效果，從而四兩撥千斤。一般來說，可以被利用來做放大反射功擊的服務包括DNS服務、NTP服務、SSDP服務、Chargen服務、Memcached等。

3、CC功擊（HTTP Flood）

HTTP Flood又稱CC功擊，是針對Web服務在第七層協議發起的功擊。通過向Web伺服器發送大量HTTP請求來模仿網站訪問者以耗盡其資源。雖然其中一些功擊具有可用於識別和阻止它們的模式，但是無法輕易識別的HTTP洪水。它的巨大危害性主要表現在三個方面：發起方便、過濾困難、影響深遠。

4、直接殭屍網路功擊

殭屍網路就是我們俗稱的「肉雞」，現在「肉雞」不再局限於傳統PC，越來越多的智能物聯網設備進入市場，且安全性遠低於PC，這讓功擊者更容易獲得大量「肉雞」，也更容易直接發起殭屍網路功擊。根據殭屍網路的不同類型，功擊者可以使用它來執行各種不同的功擊，不僅僅是網站，還包括遊戲伺服器和任何其他服務。

以上這四種DDOS功擊類型就是目前最難防禦的功擊類型了，當網站或伺服器遭到其中的任何一種DDOS功擊，都是需要專業級的高防服務才可以抵禦，常規的防禦措施在這四種DDOS功擊面前根本起不到任何緩解的作用。互聯網企業一定要提前做好防護措施，才能避免因DDOS功擊而受到經濟損失。

推薦閱讀：