DDOS***

DDOS全名是Distributed Denial of service (分布式拒绝服务***)拒绝服务就是用超出被***目标处理能力的海量数据包消耗可用系统，带宽源,致使网络服务瘫痪的一种***手段。

DDOS的主要几种***方式：

SYN变种攻

　　发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种***会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包***

　　发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的***

　　很多聊天室，视频音频软件，都是通过UDP数据包传输的，***者针对分析要***的网络软件协议，发送和正常数据一样的数据包，这种***非常难防护，一般防护墙通过拦截***数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，

针对WEB Server的多连接***

　　通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种***和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，

针对WEB Server的变种***

　　通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种***非常难防护，后面给大家介绍防火墙的解决方案

针对WEB Server的变种***

　　通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析***数据包前三个字节是GET字符然后来进行http协议的分析，这种***，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡***数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种***也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案

针对游戏服务器的***

　　因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以***的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的***种类，这里介绍目前最普遍的假人***，假人***是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是***哪些是正常玩家。

　　以上介绍的几种最常见的***也是比较难防护的***。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK***效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的***越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的***。