以NTP报文为例，NTP的Monlist命令用来查询主机最近所有和服务器通信的记录，服务器会返回最多600个通信记录，这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器，那么反射给攻击目标的流量可想而知！

• 畸形或特殊报文攻击通常指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。

• 扫描探测类攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，例如IP地址扫描和端口扫描等。

DDoS攻击按TCP/IP协议分层划分有：网络层攻击、传输层攻击、应用层攻击。具体如下：

DDoS攻击天下大势

通过以上描述，大家应该对DDoS攻击有了初步的了解。下面华安再为大家分析下当前DDoS攻击的“天下大势”，让大家对我们当今所处网络环境的DDoS攻击有一个初步的认识。

根据华为未然实验室现网攻击事件统计数据显示，SYN Flood、UDP Flood（包括UDP类反射放大攻击）、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。

下面我就来一一点评下榜单上这些“大佬”们的上榜原因。

• SYN Flood：SYN Flood是DDoS攻击经典中的经典，是最古老和原始的DDoS攻击。在网络发展初期，SYN Flood攻击简直就是DDoS攻击的代名词。SYN Flood之所以经久不衰，是因为他完全秉承了DDoS攻击的攻击简单、防御难的特质。SYN Flood攻击使用的是最简单和常用的用于TCP三次握手的SYN报文，所以他发起攻击十分简单；而且由于SYN报文是正常报文，所以对于单个报文来看防御设备是不会采取任何措施的。

• UDP Flood：UDP Flood已经取代SYN Flood攻击，成为DDoS攻击中的“一哥”。其“成功”的原因主要有三点，一是UDP协议都是无连接的协议，不提供可靠性和完整性校验，这就成为了攻击者理想的利用对象；二是UDP协议种类繁多，五花八门，防御起来难度更大；三也是彻底改变格局的是反射攻击的流行。传统UDP攻击是攻防者带宽的比拼，谁的带宽大谁赢得胜利，而反射型的UDP攻击让攻防者不再对等，因为反射出来的攻击流量要远远大于攻击者投入的流量。

• HTTP Flood：除了两大传统巨头SYN Flood和UDP Flood外，DDoS攻击榜探花的位置一直是竞争激烈的。HTTP Flood之所以能够脱颖而出，一是因为HTTP协议应用实在是太广泛了，他在我们的工作生活中无处不在。二是网页和应用中的漏洞比较容易被攻击者利用来构造HTTP反射类的攻击。例如在海量访问的网页嵌入指向攻击目标网站的恶意javaScript代码，当互联网用户访问该网页时，则流量被反射到攻击目标网站。

• DNS Flood：攻击DNS服务器的代价小，影响范围广，能够造成恐慌，因此DNS Flood攻击类型仍占有较大比例，是政治动机型DDoS攻击的首选。