说起ddos攻击大家都不会陌生，ddos攻击是现在威胁互联网安全的问题之一，也很难做到全方位的防御。ddos攻击的流程是怎么样的呢？了解ddos攻击的方式才能更好地进行防御，在遇到攻击的时候及时做出反应，做好防御措施。

　　ddos攻击的流程

　　1.了解攻击目标就是对所要攻击的目标有一个全面和准确的了解，以便对将来的攻击做到心中有数。主要关心的内容包括被攻击目标的主机数目、地址情况。目标主机的配置、性能、目标的带宽等。对于DDOS攻击者来说，攻击互联网上的某个站点，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供服务。所有这些攻击目标的信息都关系到后面两个阶段的实施目标和策略，如果盲目的发起DDOS攻击就不能保证攻击目的的完成，还可能过早的暴露攻击者的身份，所以了解攻击目标是有经验的攻击者必经的步骤。

　　2.攻占傀儡主机就是控制尽可能多的机器，然后安装相应的攻击程序。在主控机上安装控制攻击的程序，而攻击机则安装DDOS攻击的发包程序。攻击者最感兴趣，也最有可能成为别人的傀儡主机的机器包括那些链路状态好、性能好同时安全管理水平差的主机。攻击者一般会利用已有的或者未公布的一些系统或者应用软件的漏洞，取得一定的控制权，起码可以安装攻击实施所需要的程序，更厉害的可能还会取得最高控制权、留下后门等。

　　早期的DDOS攻击过程中，攻占傀儡主机这一步主要是攻击者自己手动完成的，亲自扫描网络，发现安全性比较差的主机，将其攻占并且安装攻击程序。但是后来随着DDoS攻击和蠕虫的融合，攻占傀儡机变成了一个自动化的过程，攻击者只要将蠕虫放入网络中，蠕虫就会在不断扩散中不停地攻占主机，这样所能联合的攻击机将变得非常巨大，DDoS攻击的威力更大。

　　3.DDoS攻击的最后一个阶段就是实际攻击过程，攻击者通过主控机向攻击机发出攻击指令，或者按照原先设定好的攻击时间和目标，攻击机不停的向目标或者反射服务器发送大量的攻击包，来吞没被攻击者，达到拒绝服务的最终目的。和前两个过程相比，实际攻击过程倒是最简单的一个阶段，一些有经验的攻击者可能还会在攻击的同时通过各种手段检查攻击效果，甚至在攻击过程中动态调整攻击策略，尽可能清除在主控机和攻击机上留下的蛛丝马迹。

　　ddos攻击的种类

　　流量攻击

　　就像快递服务站 (服务器) 一样，服务站的门通道 (带宽) 是有限的，大量的垃圾包裹 (攻击包) 会突然来到快递服务站进行快递。服务站的门通道 (带宽) 立即被占用，导致正常的包裹 (正常的包) 无法发送到快递服务站，服务站也无法为正常的包裹提供相应的服务。

　　资源耗尽攻击

　　就像快递服务站 (服务器) 一样，服务站的包处理能力是有限的 (CPU、内存等处理能力)。大量的包 (攻击包) 导致快速服务站满负荷运行 (CPU、内存和其他满负荷)。结果是正常的包 (正常包) 到达服务站后，服务站由于工作负荷满，无法为正常的包提供相应的服务。

　　TCP 洪水攻击

　　我们知道 TCP 需要三次握手来建立连接，而这种攻击利用 TCP 协议的这个特性来发送大量伪造的 TCP 连接请求，第一个握手包 (SYN 包) 使用假冒的 IP 或 IP 段作为源地址发送大量的请求进行连接，被攻击的服务器响应第二个握手包 (SYN+ACK 包)，因为另一方是假 IP，所以另一方永远不会收到来自服务器的第二个握手包，也不会响应来自服务器的第三个握手包。导致被攻击的服务器保持大量 SYN_RECV 状态为 “半连接”，并在默认情况下重试响应第二个握手包 5 次，TCP 连接队列满、资源耗尽 (CPU 满或内存不足)，最终让正常的业务请求无法连接。

　　TCP 全连接攻击

　　攻击模式是指许多僵尸主机不断地与被攻击的服务器建立大量真实的 TCP 连接，直到服务器的内存等资源被消耗殆尽，导致拒绝服务。这种攻击的特点是连接是真实的，所以这种攻击可以绕过一般防火墙的保护来达到攻击的目的，随着 5 g 时代，物联网的发展，物联网的安全设备远低于个人电脑，和攻击者更有可能获得大量的 “肉鸡”, 相信僵尸主机的数量会更大。

　　反射性攻击

　　黑客的攻击模式依赖于发送被针对服务器攻击主机的大量的数据包，然后攻击主机被攻击服务器时会产生大量的反应，导致攻击服务器服务瘫痪，无法提供服务。黑客往往选择那些比请求包大得多的响应包来利用服务，从而能够以较小的流量换取较大的流量，获得几倍甚至几十倍的放大效果，从而达到四两拨千斤的目的。

　　以上就是ddos攻击的流程介绍，这些攻击可能会造成潜在的损害，并且掩盖对网络的更集中攻击。ddos攻击是我们面临的主要威胁之一，也是一个最严重的安全问题。虽然现在已经有许多防御机制来抵御各种不同的DDoS攻击，但是也不能轻视它。