全部产品
Search

搜索本产品

    DDoS 防护:什么是DDoS攻击

    文档中心

    DDoS 防护:什么是DDoS攻击

    更新时间:Jan 14, 2026

    分布式拒绝服务(Distributed Denial of Service,简称DDoS)是指将多台计算机联合起来作为攻击平台,通过远程连接,利用恶意程序对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。

    DDoS攻击原理

    DDoS攻击核心在于利用僵尸网络(Botnet)进行协同攻击:

    • 攻击者通过非法手段控制大量互联网设备,构建一个庞大的僵尸网络。

    • 攻击时,攻击者通过控制端下达指令,驱动网络中所有僵尸主机在同一时间,向特定目标(如网站或服务器)发起集中、海量的无效请求或流量。

    • 这种突发性的流量洪峰会迅速耗尽目标服务器的系统资源或网络带宽,导致其服务响应迟缓甚至完全瘫痪,最终无法处理正常用户的合法请求,达成“拒绝服务”的目的。

    DDoS攻击的危害

    1. 重大经济与品牌损失:攻击可能导致业务服务中断,用户无法访问,直接造成订单流失、客户流失等经济损失,并严重损害品牌信誉。

      说明

      场景示例:某电商平台在遭受DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。

    2. 数据泄露风险:DDoS攻击可作为战术掩护,攻击者在制造网络混乱的同时,可能趁机入侵系统,窃取敏感的核心数据。

    3. 恶意商业竞争:被用作不正当竞争手段,通过瘫痪对手服务来打击其业务,抢占市场份额,破坏行业生态。

      说明

      场景示例:某游戏业务遭受了DDoS攻击,游戏玩家数量锐减,导致该游戏业务几天内迅速彻底下线。

    如何判断业务是否已遭受DDoS攻击?

    判断业务是否遭受DDoS攻击,可关注以下异常表现:

    重要

    资产是否受到攻击,请以流量安全控制台上资产中心页面显示的资产状态为准。关于如何查看资产状态,请参见资产中心

    1. 服务质量下降:业务访问卡顿、响应迟缓,或用户大面积掉线。

    2. 服务器资源异常:CPU或内存占用率在短时间内急剧飙升。

    3. 网络流量激增:出向或入向流量出现异常峰值。

    4. 海量未知访问:网站或应用涌入大量来源不明的请求。

    5. 远程管理困难:服务器登录失败或响应极慢。

    阿里云如何提供DDoS防护?

    说明

    可参考选型指引,选择合适的DDoS防护产品。

    常见的DDoS攻击类型

    DDoS攻击分类

    攻击子类

    描述

    畸形报文

    畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。

    畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。

    传输层DDoS攻击

    传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。

    以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。

    DNS DDoS攻击

    DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。

    以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。

    连接型DDoS攻击

    连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。

    以Slowloris攻击为例,其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后,Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接。如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时,Web将无法处理任何新的请求。

    Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。

    Web应用层DDoS攻击

    Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。

    通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。

    Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。

    由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。

    CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。=