【IT168 专稿】06年年底，号称亚洲最大的IDC机房——北京亦庄国际数据中心机房受到了最猖狂分布式拒绝服务（DDoS）攻击。据说12月20日当天，该IDC机房最高攻击流量超过12G，而北京亦庄机房的带宽也就是7G，这造成了北京亦庄机房的间歇性瘫痪。此次攻击事件应该说是目前已知分布式拒绝服务攻击（DDoS）事件中的流量最大的一次攻击。

　　实际上这次攻击事件只是DDoS众多攻击事件中的代表，冰山只露出了小小的一角。纵观网络安全，分布式拒绝服务攻击（DDoS）攻击是网络安全最大的威胁，已经对正常的网络秩序造成严重影响。因此，了解DDoS的工作原理，制定必要的防范措施，成为保证网络安全必要条件之一。

　　DDoS攻击 高带宽下的产物

　　分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。

　　在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高的情况下，它的攻击效果是明显的。

　　而随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了——目标对恶意攻击包的“消化能力”加强了不少。例如你的攻击软件每秒钟可以发送6,000个攻击包，但我的主机与网络带宽每秒钟可以处理20,000个攻击包，这样一来攻击就不会产生什么效果。

图一DDoS攻击流程示意图

　　DDoS的攻击手法则不同。如图一所示，攻击者只需要在PC1进行操作，通过PC2作为跳板，3号区域的所有计算机，全部向受害者发数据包，这就是利用PC1对PC4进行DDoS攻击的过程。为了逃避追查，黑客之不会直接通过PC2进行操作，仅仅把PC2作为一个跳板，降低用户规避DDoS攻击的风险。