要防止ddos网络攻击，就要了解ddos网络攻击的七种武器

DDOS网络攻击是我们最常见的问题了，要防止DDOS网络攻击，首先就要了解其攻击的方式。

1.Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

2.Smurf：该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

3.Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

4.Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

5.Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

6.PingSweep：使用ICMP Echo轮询多个主机。

7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。被攻击主机上有大量等待的TCP连接，网络中充斥着大量的无用的数据包，源地址为假，制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯，利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，严重时会造成系统死机。

Worm：网络蠕虫病毒，为了尽量减少蠕虫病毒在网络上的传播，现在常常配置ACL,把已知的蠕虫病毒常用的一些端口给封掉。蠕虫也在计算机与计算机之间自我复制，但蠕虫病毒可自动完成复制过程，因为它接管了计算机中传输文件或信息的功能。一旦计算机感染蠕虫病毒，蠕虫即可独自传播。但最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，联系人的计算机也将执行同样的操作，结果造成多米诺效应(网络通信负担沉重)，业务网络和整个 Internet 的速度都将减慢。

IP Spoof：即IP 电子欺骗，我们可以说是一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术。在TCP三次握手过程中实现，黑客主机可以假装TRUST的ip向TARget发送请求连接报文，target响应(在这个过程中，黑客主机必须使用DDOS等拒绝服务攻击使trust主机无法接受target的包，而同时黑客主机又必须猜测target发送的响应包的内容以便向target发送确认报文，与target建立连接)。

SYN Flood：是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。发生在Tcp连接握手过程。

Social Engineering：社会工程攻击是一种利用"社会工程学"来实施的网络攻击行为。最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。

Honeybot：僵尸网络跟踪工具。HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序，可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的产品。

ShellCode：Shellcode实际是一段代码(也可以是填充数据)，是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务的。

Brute Attack：蛮力攻击就是我们常说的穷举法。