DDoS 攻击全名是 distributed denial-of-service attack，分布式拒绝攻击，是由
DoS(denial-of-service)攻击发展而来，攻击原理是利用合理的服务请求来占用过多的服
务资源，从而使服务器无法处理合法用户的指令。DDoS 攻击利用处于不同位置的多个
攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置
的多台机器(傀儡机)并利用这些机器对受害者同时实施攻击。DDoS 攻击将造成网络资
源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。
DDoS 防御特性可以保护我们交换机抵挡以下类型的攻击，可以拦截该种类型攻击对应
的数据包：
 ICMP 泛洪：该攻击通过向目标 IP 发送大量 ICMP 包，占用带宽，从而导致合法报
文无法达到目的地，达到攻击目的。
 Smurf 攻击：攻击者先使用受害主机的地址，向一个广播地址发送 ICMP 回响请求，
在此广播网络上，潜在的计算机会做出响应，大量响应将发送到受害主机，此攻击
后果同 ICMP 泛洪，但比之更为隐秘。
 SYN 泛洪：蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 连接而进行的攻击，该攻
击利用 IP 欺骗，向受害者的系统发送看起来合法的 SYN 请求，而事实上该源地址
不存在或当时不在线，因而回应的 ACK 消息无法到达目的，而受害者的系统被大
量的这种半开连接充满，资源耗尽，而合法的连接无法被响应。
 UDP 泛洪：该攻击通过向目标 IP 发送大量 UDP 包，占用带宽，消耗资源。
 Fraggle 攻击：该攻击是 smurf 的变种，针对防火墙对 ICMP 包检查比较严格的前提
下，不再向广播地址发 ICMP 请求包，而是改为发送 UDP 包。
 Small-packet 攻击：IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的
资源。
 bad mac intercept：目的 MAC 地址等于源 MAC 地址的报文攻击。
 bad ip equal：目的 IP 地址等于源 IP 地址的报文攻击。