DDoS 全称为 Distributed Deny of Service。

主要原理是，使用TCP/IP协议的漏洞(服务方需等待客户端的确认信息)。

使用大量伪装成合法的TCP或UPD包向服务器发出请求，使服务器TCP/IP等待队列排满。使正常连接也发生延迟或因队列排满而被丢弃。

因为DDos攻击一般发起的攻击包数量大，分布广，很难有效的防御。

理解DDoS攻击

一个DDoS攻击一般分为三个阶段。

第一阶段是目标确认：黑客会在互联网上锁定一个企业网络的IP地址。

这个被锁定的IP地址可能代表了企业的Web服务器、DNS服务器、互联网网关等。而选择这些目标进行攻击的目的同样多种多样，比如为了赚钱(有人会付费给黑客攻击某些站点)，或者只是以破坏为乐。

第二个阶段是准备阶段：

在这个阶段，黑客会入侵互联网上大量的没有良好防护系统的计算机(基本上就是网络上的家庭计算机，DSL宽带或有线电缆上网方式为主)。黑客会在这些计算机中植入日后攻击目标所需的工具。

第三个阶段是实际攻击阶段：

黑客会将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上，并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包，使得目标无法处理大量的数据或者频宽被占满。

聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址，并且将攻击目标的IP地址插在数据包的原始地址处，这就是所谓的反射攻击。

服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应，更加重了目标主机所承受的数据流。

因此，我们无法阻止这种DDoS攻击，但是知道了这种攻击的原理，我们就可以尽量减小攻击所带来的影响。