最不講道理的也最簡單攻擊形式就是拒絕服務(wù)（DoS）攻擊。這種攻擊不是為了入侵系統(tǒng)來獲取敏感信息，它的目的就是讓系統(tǒng)崩潰，從而無法響應(yīng)正當(dāng)用戶的請求。而且這種攻擊可以非常簡單，不需要任何技術(shù)功底；它的本質(zhì)思想就是突破設(shè)備有效載荷。不管什么計(jì)算機(jī)系統(tǒng)、Web服務(wù)器、還是網(wǎng)絡(luò)都只能處理有限的載荷，計(jì)算機(jī)系統(tǒng)的工作載荷通常以帶多少用戶、文件系統(tǒng)大小、數(shù)據(jù)傳輸速率、文件存儲量等指標(biāo)來衡量。一旦超過了載荷，再執(zhí)行操作就無法響應(yīng)了。例如，可以向某一網(wǎng)站泛洪，超過服務(wù)器的處理能力，就無法響應(yīng)訪問請求了。

常見DoS的類型

1、TCP SYN泛洪

對于TCP協(xié)議，當(dāng)客戶端向服務(wù)器發(fā)起連接請求并初始化時(shí)，服務(wù)器一端的協(xié)議棧會留一塊緩沖區(qū)來處理“握手”過程中的信息交換。請求建立連接時(shí)發(fā)送的數(shù)據(jù)包的包頭SYN位就表明了數(shù)據(jù)包的順序，攻擊者可以利用在短時(shí)間內(nèi)快速發(fā)起大量連接請求，以致服務(wù)器來不及響應(yīng)。同時(shí)攻擊者還可以偽造源IP地址。也就是說攻擊者發(fā)起大量連接請求，然后掛起在半連接狀態(tài)，以此來占用大量服務(wù)器資源直到拒絕服務(wù)。雖然緩沖區(qū)中的數(shù)據(jù)在一段時(shí)間內(nèi)（通常是三分鐘）都沒有回應(yīng)的話，就會被丟棄，但在這段時(shí)間內(nèi)，大量半連接足以耗盡服務(wù)器資源。

防御這種攻擊沒有好的辦法，所有基于TCP的服務(wù)都有此“弱點(diǎn)”，但對于Web服務(wù)來說，有三招防御手段：設(shè)置SYN cookie、RST cookie和編輯緩沖區(qū)大小。具體方法可以搜一下，但要注意，三種方法都有局限性。

2、Smurf IP

Smurf IP利用廣播地址發(fā)送ICMP包，一旦廣播出去，就會被廣播域內(nèi)的所有主機(jī)回應(yīng)，當(dāng)然這些包都回應(yīng)給了偽裝的IP地址（指向被攻擊主機(jī)），偽裝IP地址可以是互聯(lián)網(wǎng)上的任何地址，不一定在本地；假如駭客不停地發(fā)送此種類型的包，就會造成DoS攻擊。

防御這種攻擊要從內(nèi)網(wǎng)入手，因?yàn)楣羰菑膹V播域內(nèi)發(fā)起的，所以一是防內(nèi)賊，二是防木馬、病毒以防被外控制，再一個(gè)就是利用防火墻隱藏內(nèi)網(wǎng)；最好將這些措施組合起來。

3、其它

其它還有UDP泛洪、ICMP泛洪、死亡之ping、淚珠攻擊、著陸攻擊、Echo/Chargen攻擊，基本思想都差不多，有興趣的可以查查，篇幅所限這里不多介紹。

4、DDoS攻擊

DDoS是分布式拒絕服務(wù)攻擊，其基本思想與DoS攻擊一樣，只是方法不同。DDoS攻擊一般通過兩種方式：一是利用大量路由器，一是利用botnet。

DoS的弱點(diǎn)

從攻擊者的角度來講，DoS攻擊的不足是要求洪水包必須能夠持續(xù)發(fā)送，一旦洪水包停了，系統(tǒng)一般也就恢復(fù)正常了。另外如果直接從本機(jī)發(fā)起攻擊，就有被跟蹤到IP的危險(xiǎn)；而利用Botnet又需要很強(qiáng)的控制力。

如何防御DoS

正如沒有確定的方法來防止駭客攻擊一樣，也沒有確保的方法防止所有DoS攻擊。然而，有一些措施可以減小危險(xiǎn)發(fā)生的可能性。如前面介紹的SNY cookie、RST cookie、編輯緩沖區(qū)大小。下面再介紹一些，這些方法要根據(jù)情況綜合應(yīng)用。

第一利用防火墻阻止外網(wǎng)的ICMP包，幾乎沒有什么理由讓外網(wǎng)的ICMP包進(jìn)入本地網(wǎng)絡(luò)，有人可能會對此有爭論，說是沒有好的理由，但在我看來都一樣。再一個(gè)利用工具時(shí)常檢查一下網(wǎng)絡(luò)內(nèi)是否SYN_RECEIVED狀態(tài)的半連接，這可能預(yù)示著SYN泛洪，許多網(wǎng)關(guān)型防火墻也是用此方法防御DoS攻擊的。另外如果網(wǎng)絡(luò)比較大，有內(nèi)部路由器，同時(shí)網(wǎng)絡(luò)不向外提供服務(wù)的話，可以考慮配置路由器禁止所有不是由本地發(fā)起的流量，而且考慮禁止直接IP廣播。若路由器具有包過濾功能的話，可以檢查數(shù)據(jù)包的源IP地址是否被偽造，來自外網(wǎng)的數(shù)據(jù)包源IP應(yīng)該是外網(wǎng)IP，來自內(nèi)網(wǎng)的數(shù)據(jù)包源IP是內(nèi)網(wǎng)IP。最后就是防止網(wǎng)內(nèi)出現(xiàn)Zombie了，沒什么說的，常規(guī)防護(hù)，及時(shí)更新補(bǔ)丁，使用防病毒軟件，制定下載策略，禁止隨意下載。

到此已經(jīng)對網(wǎng)絡(luò)上基本的威脅形式有所了解，各有各的特點(diǎn)，這里只總結(jié)一下基本的防御措施，常規(guī)動(dòng)作，一定要做好。除此之外，網(wǎng)絡(luò)安全是個(gè)攻防對抗的動(dòng)態(tài)過程，新思路新形式隨時(shí)會出現(xiàn)，需要不斷學(xué)習(xí)，針對自身網(wǎng)絡(luò)以及威脅的特點(diǎn)，對癥下藥。再次提醒注意，常規(guī)動(dòng)作一定要做好：

（1）使用防病毒軟件，定期掃描。

（2）及時(shí)更新系統(tǒng)及軟件補(bǔ)丁。

（3）關(guān)閉不需要的服務(wù)。

（4）瀏覽器配置為最高安全級。

（5）使用防火墻，對于桌面機(jī)，系統(tǒng)自帶防火墻足夠。

（6）考慮使用反間諜軟件。

（7）不要在互聯(lián)網(wǎng)泄露私人信息，除非十分有必要。

（8）企業(yè)要有相應(yīng)安全策略。

當(dāng)然安全保障是貫穿整個(gè)網(wǎng)絡(luò)運(yùn)維全過程的，隨網(wǎng)絡(luò)環(huán)境的不同，要求的不同，措施會有差異，沒有最好，只有更好，需要不斷修煉。接下來會系統(tǒng)地介紹一下如何進(jìn)行安全防護(hù)。方法是自頂而下，由抽象到具體，首先來看一下都有哪些網(wǎng)絡(luò)安全模型。請看下篇：網(wǎng)絡(luò)安全之大策略。