以下的文章主要向大家介绍的是DDOS攻击之互联网安全的主要威胁，DDoS即是分布式拒绝服务攻击。它是以使被攻击的服务器或者网络不能提供服务、以分布式攻击为手段的网络攻击方式。

　　DDoS以大量的非法数据耗尽网络带宽和服务器资源，由于分布式攻击的源头分布广泛，且攻击时使用伪造的虚假源IP地址，使这种攻击具有危害大、难以追查、难以抵挡的特点。

　　DDoS攻击是互联网面临的主要威胁

　　拒绝服务攻击的英文意思是Denial of Service，简称DoS。从网络攻击的各种方法和所产生的破坏情况来看，拒绝服务攻击是一种很简单但又很有效的进攻方式。它可以使服务器或者网络充斥大量信息，消耗网络带宽或系统资源，导致网络或系统趋于瘫痪而无法提供正常的网络服务。

　　分布式拒绝服务DDoS(Distributed Denial of Service)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。分布式拒绝服务攻击是危害最大、最易于达到攻击效果、最难以抵御和追踪的一种拒绝服务攻击。

　　至今为止没有一家防火墙产品能非常好的抵抗这类简单攻击。虽然各种攻击手法层出不穷，但DoS攻击依然是互联网面临的主要威胁。

　　DDOS的主要攻击手段有：

　　SYN/ACK Flood攻击：表现为系统存在大量未建立连接 、系统资源占用大，特点是容易发起攻击、伪装原地址。他是通过Netstat –an 命令可以看到大量的SYN_RECEIVED 、TIME_WAIT、FIN_WAIT_1 等。

　　UDP、ICMP攻击：表现为系统资源占用非常大，网络资源相应占用大，特点是利用协议漏洞、资源占用、伪装原地址、不易发现, 不易防范， 同时连接数量巨大、可以显示攻击机器的真实IP地址，或者代理攻击的IP地址。

　　应用层脚本攻击: 表现为CPU 占用非常大，相同的URL频繁被访问、网络流量较小。特点是大量访问网页中资源占用大的脚本，造成服务器过载、可以显示出攻击的机器IP或者代理的IP、可能可以显示出攻击者的实际控制IP。

　　来自DDOS攻击的统计数据：

　　网络攻击给现在企业带来巨大的损失，自2002年开始，拒绝服务攻击造成的损失最为巨大，2003年拒绝服务攻击造成的损失占总损失的1/3，2004年占到总损失超过半数以上。

　　以下是一组来自美国FBI的资料：

　　从数据中可以看出拒绝服务攻击越来越成为非常重要的攻击手段。然而现有的抵御方法是非常落后和无用的，经验告诉我们：防火墙和路由器无法有效对付拒绝服务攻击！现在的拒绝服务已经不仅仅是一台或几台机器发起的了，攻击者们控制成百上千的僵尸计算机(Zombie)，甚至由蠕虫来进行传播和攻击。DOS凭借它的便捷有效，吸引了大量热衷者，互联网上因此充斥这类垃圾流量。