DDoS，即 Distributed Denial of Service ，可译为分散式阻断办事攻击。

上图与DDoS的字面已经清楚的表述出了此类攻击的原理，勿需多言。

这类攻击泛滥存在的主要原因之一是网络办事的开放性，这一特点导致了DDoS攻击无法根本杜绝，目前主要应对策略是积极防御与消极防御。

典型DDoS的攻击方式：

死亡之Ping

icmp封装于IP报文之中，而IP对于很大的数据载荷采用分片传输的策略，而接收方需要对这些IP分片进行重组，如果接收方的重组算法不能很好地处理不测情况，，后果会很严重，典型的不测情况包罗：

1.连续分片的偏移量之间不符合它们应该的逻辑关系，攻击者伪造出这样的一系列分包是很容易的；
2.重组完成后的IP头与数据载荷，总长度竟超过了IP报文总长2^16字节（64kB）的限制，一个实现的例子是，前面各分片一律正常，唯有最后一个IP分片的数据载荷尽量填充到最大，如达到以太网最大传输单元MTU 1500字节上限，这样重组后的报文总长度就达到了约（64kB+1500B-20B-8B=65.44kB）的大小。

这种攻击方式附加了对目标系统协议栈算法的漏洞利用。

泪滴TearDrop

泪滴攻击指的是向目标机器发送损坏的IP包，诸如重叠的包或过大的包载荷。借由这些手段，该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。(此段摘自维基百科中文，实现方式可参考上死亡之Ping）

UDP洪水

UDP是一种无连接协议，当数据包通过 UDP 发送时，所有的数据包在发送和接收时不需要进行握手验证。

当大量 UDP 数据包发送给受害系统时，可能会导致带宽饱和从而使得合法办事无法请求拜候受害系统。

遭受 DDoS UDP 洪泛攻击时，UDP 数据包的目的端口可能是随机或指定的端口，受害系统将尝试处理接收到的数据包以确定本地运行的办事。

如果没有应用程序在目标端口运行，受害系统将对源IP发出 ICMP 数据包，表白“目标端口不成达”。

某些情况下，攻击者会伪造源IP地址以隐藏本身，这样从受害系统返回的数据包不会直接回到僵尸主机，而是被发送到被伪造地址的主机。

有时 UDP 洪泛攻击也可能影响受害系统周围的网络连接，这可能导致受害系统附近的正常系统遇到问题。

然而，这取决于网络体系结构和线速。（此段摘自维基百科中文）

TCP RST 攻击
TCP协议存在安全漏洞，正常的TCP连接可以被不法的第三方复位，这是因为TCP连接通讯不包含认证的功能。

如，在已知连接的五元组的情况下，攻击者可以伪造带有RST/SYN标识表记标帜的TCP报文或普通数据报文，当其sequence number落在TCP连接的滑动窗口范围内，可能导致会话终止或者虚假数据插入。

TCP 全连接攻击
庞大的攻击群同时地、不竭地与目标办事器建立正常的TCP连接，从而严重影响正常用户的连接办事。

Syn Flood
攻击者向目标办事器发送大量（伪造源IP地址、伪造源端口、正确目标IP地址、正确目标端口）tcp syn数据包，目标办事器为了维持这么大量的虚假连接，大量的tcp状态机维持在了SYN_RCVD状态，严重地影响了处理速度与消耗了系统资源，而反不雅观攻击者，伪造并发送这些小数据包，各项资源消耗都极低，对于网络传输速度为3Mb/s的一个攻击者来说，攻击包的速率大约可达每秒(3Mb/8/40=9830)个，如果网络传输速度达到30Mb/s，单个攻击者的攻击包速率可为98300/s，如果再考虑到分布式攻击，情况将变得极为恶劣。