中小網(wǎng)站如何對(duì)付拒絕服務(wù)攻擊

DoS（Denial of Service）是一種利用合理的服務(wù)請(qǐng)求占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)響應(yīng)的網(wǎng)絡(luò)攻擊行為。

被DoS攻擊時(shí)的現(xiàn)象大致有：

* 被攻擊主機(jī)上有大量等待的TCP連接； 
* 被攻擊主機(jī)的系統(tǒng)資源被大量占用，造成系統(tǒng)停頓； 
* 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假地址； 
* 高流量無(wú)用數(shù)據(jù)使得網(wǎng)絡(luò)擁塞，受害主機(jī)無(wú)法正常與外界通訊； 
* 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，

使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求； 
* 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。

到目前為止，防范DoS特別是DDoS攻擊仍比較困難，但仍然可以采取一些措施以降低其產(chǎn)生的危害。對(duì)于中小型網(wǎng)站來(lái)說(shuō)，可以從以下幾個(gè)方面進(jìn)行防范：

主機(jī)設(shè)置：

即加固操作系統(tǒng)，對(duì)各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。重新編譯或設(shè)置Linux以及各種BSD系統(tǒng)、Solaris和Windows等操作系統(tǒng)內(nèi)核中的某些參數(shù)，可在一定程度上提高系統(tǒng)的抗攻擊能力。

例如，對(duì)于DoS攻擊的典型種類?SYN Flood，它利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求，以造成網(wǎng)絡(luò)無(wú)法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。該攻擊過(guò)程涉及到系統(tǒng)的一些參數(shù)：可等待的數(shù)據(jù)包的鏈接數(shù)和超時(shí)等待數(shù)據(jù)包的時(shí)間長(zhǎng)度。因此，可進(jìn)行如下設(shè)置：

* 關(guān)閉不必要的服務(wù)； 
* 將數(shù)據(jù)包的連接數(shù)從缺省值128或512修改為2048或更大，
以加長(zhǎng)每次處理數(shù)據(jù)包隊(duì)列的長(zhǎng)度，以緩解和消化更多數(shù)據(jù)包的連接； 
* 將連接超時(shí)時(shí)間設(shè)置得較短，以保證正常數(shù)據(jù)包的連接，
屏蔽非法攻擊包； 
* 及時(shí)更新系統(tǒng)、安裝補(bǔ)丁。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]