分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是一种基于DoS的特殊形式的攻击，是一种分布、协作的大规模攻击方式，主要攻击比较大的站点，如商业公司、搜索引擎和政府部门的站点。

早期的拒绝服务攻击主要是针对处理能力比较弱的单机，如PC，或是窄带宽连接的网站，对拥有高带宽连接、高性能设备的网站影响不大，但在1999年底，出现了DDoS攻击。

与早期的DoS攻击相比，DDoS借助数百台、甚至数千台被植入攻击守护进程的攻击主机同时发起进攻，如图2-103所示。这种攻击对网络服务提供商的破坏力是巨大的。下面介绍DDoS攻击的Smurf方法。

图案2-103　DDoS攻击

Smurf是一种简单但有效的DDoS攻击技术，是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合使用了IP欺骗和ICMPecho方法，使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。(www.daowen.com)

当某台机器使用广播地址发送一个ICMPecho请求包时（如Ping），一些系统会回应一个，ICMPecho响应包，也就是说，发送一个包会收到许多响应包。Smurf攻击就是使用这个原理来进行的，当然，还需要一个假冒的源地址。也就是说，在网络中发送源地址为要攻击主机的地址，目的地址为广播地址的包，会使许多系统响应发送大量的信息给被攻击主机（因为其地址被攻击者假冒了）。使用网络发送一个包而引出大量响应的方式也被叫作“放大器”。

Smurf为了能工作，必须要找到攻击平台。这个平台就是路由器上启动了IP广播功能。这个功能允许Smurf发送一个伪造的Ping信息包，然后将其传播到整个计算机网络中。为了保护内网，可以使用路由器的访问控制列表，保证内部网络中发出的所有信息都具有合法的源地址，并且要将所有路由器上IP的广播功能都禁止，以防止这种攻击。另一个最简单的方法就是对边界路由器的回音应答（Echo Reply）信息包进行过滤。

UDP Flood和TCP Flood仍旧是网站的最大威胁。从另一方面来说，随着越来越多的网站追求数据的安全性，而采用HTTPS协议进行流量传输，网站遭受到HTTPS/CC攻击的事件数量随之上升。因为对HTTPS协议的处理相对HTTP会占用消耗的资源，所以无论是网站运营者还是安全服务商在面对HTTPS/CC资源消耗型攻击时，防护能力与效果会面临巨大挑战。

近期，DDoS攻击事件仍然很多，其中阿里云云盾防御的最大攻击峰值流量为477Gbit/s，他们预测2016年整个互联网可能会发生流量在800Gbit/s-1TGbit/s之间的攻击事件。以商业竞争或敲诈勒索为背景的DDoS攻击威胁形势仍将严峻。游戏仍旧是DDoS事件高发行业。来自移动终端APP的应用层的DDoS攻击将迅速崛起。

DDoS攻击利用了TCP/IP本身的弱点，攻击技术不断翻新及其所针对的协议层的缺陷短时间无法改变，因此成了流传最广、最难防范的攻击方式之一。改进某些的系统和网络协议是提高网络安全的根本途径。