DDoS的中文名稱是“分布式拒絕服務”，拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源，因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood等。

[[239890]]

作為DDoS界的翹楚，CC攻擊絕對可以稱得上是讓眾多網站運營者夜不能寐的罪魁禍首之一，這是因為與其他的DDoS攻擊手段相比，對CC攻擊的防御要困難得多得多，原因在于這種攻擊——“特別會玩躲貓貓”。攻擊者并非是直接攻擊受害主機，而是通過代理服務器或者“肉雞”向受害主機不停地發送大量的真實數據包，但若是從流量上進行查看，運營者可能跟本能意識不到自己遭受到了攻擊，因為CC攻擊并不一定會產生特別大的異常流量，只有網站服務器的連接數大量升高，而且這些連接的請求IP都是真實且分散的，真正的攻擊發起者的IP卻隱藏在幕后。在此種隱蔽的攻擊之下，服務器最終只有資源耗盡，乃至宕機崩潰這一結局。

然而這種聽上去比其他DDoS攻擊“更有技術含量一些”的攻擊方式，實際地完成起來并沒有想象中的那樣困難，只需要“一個更換IP代理的工具+一些IP代理+一點初、中級的電腦水平”就能夠實施。

互聯網江湖上流傳著多種抵御CC攻擊的方法，包括“利用Session做訪問計數器”、“把網站做成靜態頁面”、“增強操作系統的TCP/IP棧”、“ 嚴格限制每一個站允許的IP連接數和CPU使用時間”等。

然而事實證明，對于“灑灑水”般的CC攻擊，這些方法是能起到一定的作用，但是若是面對規模“稍微”大一點的攻擊，這些方法就只能統統靠邊站了。前不久，國內某網絡攻防實驗室搞了一場攻擊測試，過程及結果如下：

攻擊前

IP狀態：無任何防護

流量、CPU和連接數情況：正常

端口情況：正常

web可用性：正常

SYN FLOOD攻擊

流量、CPU和連接數情況：

端口情況：無響應

web可用性：不可用

結果：網站撲街

ACK FLOOD攻擊

流量、CPU和連接數情況：

端口情況：響應變慢

web可用性：降低

結果：CPU使用率飆升，端口響應變慢 

FIN FLOOD攻擊

流量、CPU和連接數情況：

端口情況：

web可用性：降低

 結果：CPU使用率飆升

RST FLOOD攻擊

流量、CPU和連接數情況：

端口情況：響應變慢

web可用性：降低

結果：CPU使用率飆升，端口響應變慢

攻擊器- nping

流量、CPU和連接數情況：

端口情況：響應變慢

web可用性：降低

 結果：CPU使用率飆升

攻擊器- GoldenEye

流量、CPU和連接數情況：

連接數最大1500，CPU上升

端口情況：無響應

 web可用性：不可用

結果：網頁無法訪問,RDP中斷

結果分析

從測試結果可以看到，撤掉了防護的網站IP，無論是面對單一類型的flood攻擊還是專業的DDoS、CC攻擊工具都無法招架，網站無法平穩運行，輕者CPU飆升，重者宕機。尤其是CC攻擊，更是令人防不勝防。