在TCP协议中，到达目的地的报文将进入TCP栈的缓冲区，直到缓冲区满了，报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而，发送者可通过发送 PSH标志为1的TCP报文来起强制要求接受系统将缓冲区的内容清除。TCP PUSH+ACK攻击与TCP SYN攻击一样目的在于耗尽受害系统的资源。当代理向受害的主机发送PSH和ACK标志设为1的DDOS攻击器TCP报文时，这些报文将使接收系统清除所有TCP缓冲区的数据(不管缓冲区是满的还是非满)，并响应一个确认消息。如果这个过程被大量代理重复，系统将无法处理大量的DDOS流入报文。畸形报文攻击。顾名思义，畸形报文攻击指的是攻击者指使代理向受害DDOS攻击器的主机发送错误成型的IP报文以使其崩溃。有两种畸形报文攻击方式。一种是IP地址攻击，攻击报文拥有相同的源IP和目的IP位址。它能迷惑受害DDOS攻击器的主机的操作系统，并使其消耗大量的处理能力。另一个是IP报文可选段攻击。攻击报文随机选取IP报文的可选段并将其所有的服务比特值设为1。对此，受害系统不得不花费额外的处理时间来分析资料包。当发动攻击的代理足够多时，受害系统将失去处理能力。分布式拒绝服务(DDoS)攻击导致网络瘫痪的容易程度超出您的想象。DDoS攻击通常由受控网络(所谓的肉机)所发动。受控网络是一些由受到控制的计算机(bot)所组成的网络，它们可以被攻击者用于对目标发送大量的不同类型的分组。一个相对较小的受控网络可能包含1000台DDOS攻击器的主机，如果估计每台DDOS攻击器的主机的平均上行带宽为128Kb/s，那么这个受控网络就会生成超过100Mb/s的输入数据。对于更大规模的botnet，攻击的总流量速率可能达到数个Gb，这远远超出了电信运营商和大型企业或IDC之间连接的承受能力。近年来网络游戏和DDOS攻击器的主机托管的蓬勃发展，国内IDC业务得到快速增长。与此同时，针对中小型IDC的DDoS攻击也进一步泛滥。更糟糕的是，因为拥有永不间断Internet连接的PC越来越多，而这些PC往往缺乏足够的保护，因而给黑客以可乘之机，造成受控DDOS攻击器的主机的个数正在急剧增加。大部分的DDoS攻击都会造成严重的后果，客户的服务器不再可用，WEB页面无法连接，网络游戏客户端无法登陆，等等。有些时候甚至会殃及池鱼，造成整个IDC网络甚至整个运营商机房的瘫痪。DDoS检测都是一项相当困难的任务，因为部分攻击的非法分组具有与合法分组相同的内容和报头特性。从根本上讲，对于真正的DDoS攻击，目前还没有彻底的解决方法。而且，很多攻击都采用了伪装的源地址。因此，要想有效地防御DDoS，必须能够准确地区分合法的和非法的流量。
遭遇DDOS攻击时的防御手段
介绍DDOS攻击防御方案的五点