有在玩線上遊戲的人想必對這個名詞不陌生，DDoS。每次被攻擊都會牙癢癢，玩是一秒都玩不下去了，今天讓我們來了解一下DDoS是什麼還有它的原理吧！

DDoS

分散式阻斷服務攻擊(DDoS)是一種攻擊手法，藉由同時間的大量流量使得目標網頁、伺服器或其周邊設施不堪重負，使正常使用者無法訪問。以另一種方式形容的話，就好比在一條正常的路上故意造成堵塞意外，讓一些原本要前往目的地的車輛(使用者)無法正常前往。

攻擊原理

DDoS的攻擊通常是有大量的控制節點，這些節點是被惡意程式而成為殭屍網路一部分的受害電腦。當殭屍網路被建立起來後，攻擊者可以透過每個節點進行惡意攻擊，朝著目標IP發送請求而導致它無法負荷。

攻擊方式

DDoS的攻擊也分成很多種類型，包括：

• HTTP洪水攻擊：

  發送大量HTTP請求，使得伺服器無法承受，就像是在許多台裝置上對著一個網站不停的按著重新整理

• SYN洪水攻擊：

  這是個針對TCP協定的攻擊，所以在這之前我們得先了解TCP協定的過程

  1. 客戶端發送SYN：向伺服器發送帶有SYN的TCP封包，讓伺服器知道這是新連結的請求
  2. 伺服器回應：收到請求後，伺服器會回應帶有SYN跟ACK的封包，準備建立連結
  3. 客戶端回應：當收到伺服器回應後，客戶端會回應含有ACK的TCP封包，表示連結建立
  4. TCP建立完成：伺服器收到TCP封包後，兩邊就能開始進行數據的傳輸

  攻擊者會發送大量請求給伺服器，其實沒有要建立連結，而這些請求可能來自虛偽的IP。因為客戶端沒有回應ACK給伺服器端，所以這個新連結就不會建立起來，這些TCP連結的資源就會被耗盡浪費。

防範方式

這邊同樣列舉幾個常見的防範方式：

• 速率限制

  設置連結的速率限制，減少同時間伺服器接收的大量請求數量

• 負載平衡

  透過把這些巨大的流量分散到多個伺服器或節點藉以分擔攻擊壓力

• 防火牆

  檢測異常的活動，阻止來自特定IP或特定流量類型的攻擊

參考資料

阻斷服務攻擊
什麼是 DDoS 攻擊？