与其他网络攻击不同，DDoS 攻击不会利用网络资源中的漏洞来破坏计算机系统。相反，它们使用超文本传输协议 (HTTP) 和传输控制协议 (TCP) 等标准网络连接协议，以超出其处理能力的流量使得端点、应用程序和其他资产无法访问。Web 服务器、路由器和其他网络基础设施在任何给定时间只能处理有限数量的请求并维持有限数量的连接。通过耗尽资源的可用带宽，DDoS 攻击会阻止这些资源响应合法的连接请求和数据包。

从广义上讲，DDoS 攻击分为三个阶段。

DDoS 攻击目标的选择源于攻击者的动机，其范围可能很广。黑客利用 DDoS 攻击向组织勒索金钱，要求支付赎金才能结束攻击。一些黑客利用 DDoS 进行激进主义行动，针对他们反对的组织和机构。不道德的行为者利用 DDoS 攻击来关闭竞争企业，一些民族国家在网络战中使用了 DDoS 策略。

一些最常见的 DDoS 攻击目标包括：

• 在线零售商。DDoS 攻击可能会引起零售商的数字商店瘫痪，导致客户在一段时间内无法购物，从而对零售商造成重大财务损失。
  
  

• 云服务提供商。Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform 等云服务提供商是常见的 DDoS 攻击目标。由于这些服务为其他企业托管数据和应用程序，因此黑客可以通过一次攻击造成大范围的中断。2020 年，AWS 遭受了大规模 DDoS 攻击（ibm.com 外部链接）。在高峰期，恶意流量以每秒 2.3 太字节的速度涌入。
  
  

• 金融机构。DDoS 攻击会导致银行服务脱机，使客户无法访问自己的账户。2012 年，美国六家主要银行遭受了一致的 DDoS 攻击，此次攻击可能是出于政治动机的行为（ibm.com 外部链接）。
  
  

• 软件即服务 (SaaS) 提供商。与云服务提供商一样，Salesforce、GitHub 和 Oracle 等 SaaS 提供商也是有吸引力的目标，因为黑客可以通过它们同时破坏多个组织。2018 年，GitHub 遭受了有记录以来当时最大规模的 DDoS 攻击（ibm.com 外部链接）。
  
  

• 游戏公司。DDoS 攻击可以用流量使服务器瘫痪，中断在线游戏。这些攻击通常是由怀有个人恩怨、心怀不满的玩家发起，就像 Mirai 僵尸网络一样，它最初是为了针对 Minecraft 服务器而构建的（ibm.com 外部链接）。

DDoS 攻击通常需要僵尸网络 — 一个由已感染恶意软件的互联网连接设备组成的网络，黑客能够使用该恶意软件远程控制设备。僵尸网络可以包括笔记本电脑和台式计算机、手机、物联网设备以及其他消费者或商业端点。这些受感染设备的所有者通常不知道自己已被感染或正被用于 DDoS 攻击。

一些网络罪犯从零开始构建僵尸网络，而另一些网络罪犯则根据名为“拒绝服务即服务”的模式购买或租用预先建立的僵尸网络。

（注意：并非所有 DDoS 攻击都使用僵尸网络；有些攻击利用未受感染设备的正常操作来达到恶意目的。请参阅下面的“Smurf 攻击”。）

黑客命令僵尸网络中的设备向目标服务器、设备或服务的 IP 地址发送连接请求或其他数据包。大多数 DDoS 攻击依靠暴力破解，发送大量请求来耗尽目标的所有带宽；一些 DDoS 攻击会发送较少数量更加复杂的请求，需要目标花费大量资源来响应。无论哪种情况，结果都是相同的：攻击流量使目标系统瘫痪，导致拒绝服务并阻止合法流量访问网站、Web 应用程序、API 或网络。

黑客经常通过伪造 IP 来掩盖攻击源，网络罪犯通过这种技术为从僵尸网络发送的数据包伪造虚假源 IP 地址。在一种名为“反射”(Reflection) 的伪造 IP 形式中，黑客伪造一种假象，使恶意流量看起来像是从受害者自己的 IP 地址发送的。

DDoS 攻击类型通常根据开放式系统互连 (OSI) 参考模型的术语进行命名或描述，该模型是一个定义七个网络“层”的概念框架（有时称为 OSI 七层模型）。

顾名思义，应用层攻击的目标是 OSI 模型的应用层（第 7 层），即为响应用户请求而生成 Web 页面的层。应用层攻击用恶意请求使 Web 应用程序瘫痪，中断 Web 应用程序。

最常见的应用层攻击之一是 HTTP 洪流攻击，攻击者从多个设备连续向同一网站发送大量 HTTP 请求。该网站无法处理所有 HTTP 请求，并且速度显著减慢或完全崩溃。HTTP 洪流攻击类似于数百或数千个 Web 浏览器重复刷新同一网页。

发起应用层攻击相对容易，但很难预防和缓解。随着越来越多的公司转向使用微服务和基于容器的应用程序，应用层攻击导致关键 Web 和云服务失效的风险也在增加。

协议攻击针对 OSI 模型的网络层（第 3 层）和传输层（第 4 层）。它们的目标是通过恶意连接请求使关键网络资源无法访问，例如防火墙、负载平衡器和 Web 服务器。

常见的协议攻击包括：

SYN 洪流攻击。SYN 洪流攻击利用 TCP 握手，即两个设备相互建立连接的过程。

在典型的 TCP 握手中，一个设备发送 SYN 数据包来启动连接，另一个设备使用 SYN/ACK 数据包进行响应以确认请求，原始设备发回 ACK 数据包以完成连接。

在 SYN 洪流攻击中，攻击者向目标服务器发送大量伪造的源 IP 地址的 SYN 数据包。服务器将其响应发送到伪造 IP 地址并等待最终的 ACK 数据包。由于源 IP 地址是伪造的，因此这些数据包永远不会到达。服务器被大量未完成的连接占用，使其无法进行合法的 TCP 握手。

Smurf 攻击。Smurf 攻击利用因特网控制报文协议 (ICMP)，这是一种用于评估两个设备之间连接状态的通信协议。在典型的 ICMP 交换中，一个设备向另一个设备发送 ICMP 回传请求，后一台设备以 ICMP 回传答复进行响应。

在 Smurf 攻击中，攻击者从与受害者 IP 地址匹配的伪造 IP 地址发送 ICMP 回传请求。此 ICMP 回传请求被发送到 IP 广播网络，该网络将请求转发到给定网络上的每个设备。收到 ICMP 回传请求的每个设备（可能是数百或数千个设备）都会通过向受害者的 IP 地址发送 ICMP 回传答复来进行响应，从而向设备发送超出其处理能力的信息。与许多其他类型的 DDoS 攻击不同，Smurf 攻击不一定需要僵尸网络。

DDoS 容量耗尽攻击消耗目标网络内或目标服务与互联网其余部分之间的所有可用带宽，从而阻止合法用户连接到网络资源。即使与其他类型的 DDoS 攻击相比，容量耗尽攻击通常也会以非常高的流量让网络瘫痪，使资源无法访问。众所周知，容量耗尽攻击会击垮清洗中心等 DDoS 防护措施，这些措施旨在从合法流量中过滤掉恶意流量。

常见的容量耗尽攻击类型包括：

UDP 洪流攻击。这些攻击向目标主机的端口发送虚假的用户数据报协议 (UDP) 数据包，促使主机寻找接收这些数据包的应用程序。由于 UDP 数据包是虚假的，因此没有应用程序可以接收它们，主机必须向发送者发回 ICMP“目标无法到达”消息。主机的资源因响应源源不断的虚假 UDP 数据包流而被占用，导致主机无法响应合法数据包。

ICMP 洪流攻击。这些攻击也称为“ping 洪流攻击”，旨在通过来自多个伪造 IP 地址的 ICMP 回传请求来轰炸目标。目标服务器必须响应所有这些请求，因此会过载，并且无法处理有效的 ICMP 回传请求。ICMP 洪流攻击与 Smurf 攻击的区别在于，攻击者从其僵尸网络发送大量 ICMP 请求，而不是通过欺骗网络设备向受害者的 IP 地址发送 ICMP 响应。

DNS 放大攻击。在此类攻击中，攻击者向一台或多台公共 DNS 服务器发送多个域名系统 (DNS) 查找请求。这些查找请求使用属于受害者的伪造 IP 地址，并要求 DNS 服务器为每个请求返回大量信息。然后，DNS 服务器回复请求时用大量数据使受害者的 IP 地址无法访问。

顾名思义，多向量攻击旨在利用多个攻击向量来最大限度制造损害并阻碍采取 DDoS 缓解措施。当一个向量受阻时，攻击者可以同时使用多个向量，或者在攻击中途在向量之间切换。例如，黑客可能会从 Smurf 攻击开始，但来自网络设备的流量被关闭时，他们可能会从僵尸网络发起 UDP 洪流攻击。

DDoS 威胁也可能与其他网络攻击结合使用。例如，勒索软件攻击者可能会威胁受害者，如果不支付赎金，就会发动 DDoS 攻击。