拒絕服務(wù)攻擊是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)器的一種破壞性攻擊方式。廣義上講，任何能夠?qū)е掠脩舻?a href="/wiki/%E6%9C%8D%E5%8A%A1%E5%99%A8" title="服務(wù)器">服務(wù)器不能正常提供服務(wù)的攻擊都屬于拒絕服務(wù)攻擊，例如往服務(wù)器上潑一杯水，把網(wǎng)線剪斷，都屬于廣義的拒絕服務(wù)攻擊的范疇。

　　拒絕服務(wù)攻擊的具體實(shí)現(xiàn)可以是多種多樣的，但是究其根本目的，就是使受害主機(jī)或者網(wǎng)絡(luò)失去及時(shí)接受處理外界請(qǐng)求或者無法及時(shí)回應(yīng)外界請(qǐng)求。^[1]

　　拒絕服務(wù)攻擊方式是多樣的，但是仔細(xì)研究攻擊的模式，可以分為以下四種情況：

　　a.消耗包括網(wǎng)絡(luò)帶寬、存儲(chǔ)空間、CPU 時(shí)間等資源；

　　b.破壞或者更改配置信息；

　　C.物理破壞或者改變網(wǎng)絡(luò)部件；

　　d.利用服務(wù)程序中的處理錯(cuò)誤使服務(wù)失效。按照攻擊發(fā)起的位置，拒絕服務(wù)攻擊又可以分為傳統(tǒng)的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。

　　根據(jù)對(duì)以往的各種DoS攻擊事件和手段的經(jīng)驗(yàn)，DoS攻擊會(huì)有如下發(fā)展趨勢(shì)：

　　(1)DoS攻擊將越來越多地采用IP欺騙技術(shù)；

　　(2)DDoS技術(shù)和工具將不斷推陳出新；

　　(3)DoS攻擊將會(huì)不斷智能化，具有躲過IDs檢測跟蹤和規(guī)避防火墻防御體系等特點(diǎn)；

　　(4)針對(duì)路由器弱點(diǎn)的Dos攻擊將會(huì)增多；

　　(5)DOS攻擊將更多地利用路由器的多點(diǎn)傳送功能；

　　(6)針對(duì)他TCP/IP協(xié)議先天缺陷攻擊將是新的DoS攻擊趨勢(shì)。

　　拒絕服務(wù)攻擊會(huì)造成時(shí)間和金錢上的重大損失，成為網(wǎng)絡(luò)經(jīng)濟(jì)和電子商務(wù)的攔路虎.因此制定防范策略，實(shí)施保護(hù)措施，提高系統(tǒng)的防御能力十分迫切和重要。

　　下面針對(duì)攻擊方式的不同，分別給出不同的解決方案：

　　1.破壞物理設(shè)備

　　物理設(shè)備包括：計(jì)算機(jī)、路由器、電源、冷卻設(shè)備、網(wǎng)絡(luò)配線室等 防范這種破壞的主要措施有：例行檢查物理實(shí)體的安全，使用窖錯(cuò)和冗余網(wǎng)絡(luò)硬件的方法。

　　2.破壞配置文件

　　由于系統(tǒng)很可能因錯(cuò)誤配置而無法繼續(xù)提供正常的服務(wù)，固此，管理員應(yīng)首先正確設(shè)置系統(tǒng)及相關(guān)軟件的配置信息.并在安全介質(zhì)上保留備份；利用工具及時(shí)發(fā)現(xiàn)配置文件的變化，并快速恢復(fù)這些配置信息保證系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行。

　　利用網(wǎng)絡(luò)協(xié)議或系統(tǒng)的設(shè)計(jì)弱點(diǎn)和實(shí)現(xiàn)漏洞這類攻擊主要指SYN flooding攻擊，Ping of Death攻擊，Teardrop攻擊，Land攻擊等，前面的分析中已經(jīng)給出了詳細(xì)的解決方案和防護(hù)措施，這里不再贅述。

　　3.消耗系統(tǒng)資源

　　系統(tǒng)資源包括CPU資源，內(nèi)存資源，磁盤空間，網(wǎng)絡(luò)帶寬等，攻擊者剃用資源有限的特點(diǎn)，惡意消耗系統(tǒng)資源，使系統(tǒng)無法提供正常的服務(wù)。Smurf，DDoS等都屬于該類型。全球網(wǎng)絡(luò)管理員和ISP管理好自己的網(wǎng)絡(luò)不被人濫用迫在眉睫。針對(duì)這種情況，管理員可以采取下面這些行之有效的防范措施：

　　(1)及時(shí)地給系統(tǒng)打補(bǔ)丁，設(shè)置正確的安全策略；

　　(2)定期檢查系統(tǒng)安全，檢查是否被安裝了DDoS攻擊程序，是否存在后門等；

　　(3)建立資源分配模型，設(shè)置閾值，統(tǒng)計(jì)敏感資源的使用情況；

　　(4)優(yōu)化路由器配置：正確配置路由器的內(nèi)、外網(wǎng)卡：設(shè)置他P攔截；限制TCP連接超時(shí)閾值；禁止IP廣播包流^內(nèi)部網(wǎng)絡(luò)；禁止外出的ICMP不可達(dá)消息；

　　(5)使用第三方的13志分析系統(tǒng)來保留線索，順藤摸瓜，將肇事者繩之以法。