防止DDOS攻击 保障网络流量正常.docx

防止DDOS攻击保障网络流量正常
在常见的网络攻击中最不讲道理的也最简单攻击形式就是拒绝服务（DoS）攻击。这种 攻击不是为了入侵系统来获取敏感信息，它的目的就是让系统崩溃，从而无法响应正当用户 的请求。而且这种攻击可以非常简单，不需要任防止DDOS攻击保障网络流量正常
在常见的网络攻击中最不讲道理的也最简单攻击形式就是拒绝服务（DoS）攻击。这种 攻击不是为了入侵系统来获取敏感信息，它的目的就是让系统崩溃，从而无法响应正当用户 的请求。而且这种攻击可以非常简单，不需要任何技术功底；它的本质思想就是突破设备有 效载荷。做么能够防止DOS攻击？我们就应该先了解DOS攻击，小草网管软件（小草软路 由）就跟大家一起来认识DOS攻击！
不管什么计算机系统、Web服务器、还是网络都只能处理有限的载荷，计算机系统的 工作载荷通常以带多少用户、文件系统大小、数据传输速率、文件存储量等指标来衡量。一 旦超过了载荷，再执行操作就无法响应了。例如，可以向某一网站泛洪，超过服务器的处理 能力，就无法响应访问请求了。
常见DoS的类型
1、 Smurf IP
Smurf IP利用广播地址发送ICMP 包, 一旦广播出去，就会被广播域内的所有主机回应， 当然这些包都回应给了伪装的IP地址（指向被攻击主机），伪装IP地址可以是互联网上的任 何地址，不一定在本地；假如骇客不停地发送此种类型的包，就会造成DoS攻击。
防御这种攻击要从内网入手，因为攻击是从广播域内发起的，所以一是防内贼，二是防 木马、病毒以防被外控制，再一个就是利用防火墙隐藏内网；最好将这些措施组合起来。
2、 TCP SYN 泛洪
对于TCP协议，当客户端向服务器发起连接请求并初始化时，服务器一端的协议栈会留 一块缓冲区来处理“握手”过程中的信息交换。请求建立连接时发送的数据包的包头 SYN 位就表明了数据包的顺序，攻击者可以利用在短时间内快速发起大量连接请求，以致服务器 来不及响应。同时攻击者还可以伪造源 IP 地址。也就是说攻击者发起大量连接请求，然后 挂起在半连接状态，以此来占用大量服务器资源直到拒绝服务。虽然缓冲区中的数据在一段 时间内（通常是三分钟）都没有回应的话，就会被丢弃，但在这段时间内，大量半连接足以 耗尽服务器资源。
防御这种攻击没有好的办法，所有基于TCP的服务都有此“弱点”，但对于Web服务来 说，有三招防御手段：设置SYN cookie、RST cookie和编辑缓冲区大小。具体方法可以搜一 下，但要注意，三种方法都有局限性。
3、 DDoS 攻击
DDoS是分布式拒绝服务攻击，其基本思想与DoS攻击一样，只是方法不同。DDoS攻击 一般通过两种方式：一是利用大量路由器，一是利用 botnet。
4、其它
其它还有UDP泛洪、ICMP泛洪、死亡之ping、泪珠攻击、着陆攻击、Echo/Chargen攻 击，基本思想都差不多，有兴趣的可以查查，篇幅所限这里不多介绍。
DoS 的弱点
从攻击者的角度来讲，DoS攻击的不足是要求洪水包必须能够持续发送，一旦洪水包停 了，系统一般也就恢复正常了。另外如果直接从本机发起攻击，就有被跟踪到 IP 的危险； 而利用 Botnet 又需要很强的控制力。
如何防御 DoS