DDOS攻击中最厉害的三大攻击是什么？

一、直接僵尸网络攻击

僵尸网络是受感染的PC和/或服务器的数字(范围从10到100,000+)，可以由攻击者从所谓的C&C(命令和控制)服务器控制。根据僵尸网络的类型，攻击者可以使用它来执行各种不同的攻击。例如，它可用于第7层HTTP攻击，攻击者会使每个受感染的PC /服务器向受害者的网站发送HTTP GET或POST请求，直到Web服务器的资源耗尽为止。

通常，僵尸网络在攻击期间建立完整的TCP连接，这使得它们很难被阻止。它基本上是第7层DDoS，可以修改为尽可能多地对任何应用程序造成伤害，不仅仅是网站，还有游戏服务器和任何其他服务。即使机器人无法模仿目标应用程序的协议，他们仍然可以建立这么多TCP连接，使受害者的TCP / IP堆栈无法接受更多连接，因此无法响应。

通过分析来自机器人的连接并弄清楚它们发送的有效载荷如何与合法连接不同，可以减轻直接僵尸网络攻击。连接限制也可以提供帮助，但这一切都取决于僵尸网络的行为方式，每次都可能不同。通常是识别和停止直接僵尸网络DDoS的手动过程。

二、第7层 HTTP DDoS

基于HTTP的第7层攻击(例如HTTP GET或HTTP POST)是一种DDoS攻击，它通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式，但是无法轻易识别的HTTP洪水。它们并不罕见，对网站管理员来说非常苛刻，因为它们不断发展以绕过常见的检测方法。

针对第7层HTTP攻击的缓解方法包括HTTP请求限制，HTTP连接限制，阻止恶意用户代理字符串以及使用Web应用程序防火墙(WAF)来识别已知模式或源IP的恶意请求。

三、TCP SYN / ACK反射攻击(DrDoS)

TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送欺骗数据包，使其看起来源自受害者的IP地址，这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如，攻击者想要攻击的IP是1.2.3.4。为了定位它，攻击者将数据包发送到端口80上的任何随机Web服务器，其中标头是伪造的，因为Web服务器认为该数据包来自1.2.3.4，实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。

TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送欺骗数据包，使其看起来源自受害者的IP地址，这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如，攻击者想要攻击的IP是1.2.3.4。为了定位它，攻击者将数据包发送到端口80上的任何随机Web服务器，其中标头是伪造的，因为Web服务器认为该数据包来自1.2.3.4，实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。

另一种缓解方法是阻止攻击期间使用的源端口。