DDOS全稱Distributed Denial of Service，中文叫做“分散式拒絕服務”，就是利用大量合法的分散式伺服器對目標傳送請求，從而導致正常合法使用者無法獲得服務。DDOS會耗盡網路服務的資源，使伺服器失去響應，為實施下一步網路攻擊來做準備。比如用KaLi_Linux的hping3就可以很容易的實現DDOS攻擊。

1。 DDOS攻擊的具體步驟

如圖，未受攻擊時，netstat -nat可以檢視到只有少量的網路連結。

用KaLi Linux的hping3進行SYN Flood攻擊。修改引數還可以進行UDP Flood和ICMP Flood攻擊。

主機上用netstat檢視，可以看到大量的SYN RECV狀態的連線，CPU耗用也很高。由於來源IP地址都是偽造的，而TCP SYN的超時時間至少需要30秒。這樣就可以消耗伺服器的大量埠和網路資源。

2。 如何防護DDOS攻擊？

DDOS必須在網路邊緣處進行防護，大部分的防火牆都有類似的功能。以我司的WSG上網行為管理閘道器為例，開啟“DDOS防護”即可進行有效的阻擋。如圖：

開啟DDOS防護後，SYN RECV的連線數大大減少，CPU的佔用也少很多。

在WSG的“DDOS防護”中還可以看到防護的狀態統計。