DoS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。

我們可以看出DoS攻擊的基本過(guò)程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。

如何阻擋DoS

對(duì)付DoS，目前還沒(méi)有十分有效的防范辦法。阻擋DoS常用方法之一是在網(wǎng)絡(luò)上設(shè)立過(guò)濾器或偵測(cè)器，在信息到達(dá)網(wǎng)站服務(wù)器之前阻擋信息。過(guò)濾器會(huì)偵察可疑的訪問(wèn)行動(dòng)。如果可疑訪問(wèn)經(jīng)常出現(xiàn)，過(guò)濾器就會(huì)接受指示，阻擋相應(yīng)的信息，讓服務(wù)器的對(duì)外連接保持暢通。針對(duì)DoS消耗系統(tǒng)資源的作法，一些用戶通過(guò)采用增加系統(tǒng)資源、擴(kuò)充主機(jī)集群數(shù)量等方式可以在一定程度上緩解攻擊，這種做法顯然增加了硬件成本開(kāi)銷和維護(hù)開(kāi)銷，不適于資金有限的用戶采用。

防火墻和VPN是目前阻擋“拒絕服務(wù)攻擊”的常用設(shè)備。其中，防火墻作為訪問(wèn)控制設(shè)備，通過(guò)設(shè)計(jì)訪問(wèn)策略，能夠?qū)芙^服務(wù)攻擊起到一定防范作用。不過(guò)，防火墻必須經(jīng)過(guò)正確設(shè)置才能發(fā)揮防護(hù)作用。當(dāng)防火墻依據(jù)多重安全規(guī)則，對(duì)不同服務(wù)進(jìn)行數(shù)據(jù)包過(guò)濾和代理時(shí)，容易導(dǎo)致系統(tǒng)管理者將防火墻的環(huán)境設(shè)定錯(cuò)誤，而留下一些系統(tǒng)安全漏洞，讓入侵者有機(jī)可乘。

目前防火墻在防范DoS 攻擊方面存在缺陷。一是防火墻是由人工去設(shè)定，不適合動(dòng)態(tài)設(shè)定，而且由于每次攻擊方式是不同的，用戶無(wú)法得知攻擊者的地址和用來(lái)攻擊的協(xié)議。二是目前防火墻的設(shè)定通常不會(huì)分辨正常封包與攻擊封包之不同。以抵擋ICMP Ping攻擊為例，網(wǎng)管員將防火墻設(shè)置為能夠阻擋所有進(jìn)來(lái)的ICMP　Ping封包，但這時(shí)防火墻并不阻擋ICMP　Ping Response封包，這種方式使防火墻外部的用戶無(wú)法Ping到防火墻內(nèi)部的IP地址，但卻不是一個(gè)好辦法，目前的黑客已經(jīng)采用傳送大量偽造的ICMP Ping Response 封包的方式進(jìn)行攻擊，防火墻只有擋掉ICMP Ping　Response 的封包，才能阻擋這類攻擊，這給防火墻內(nèi)部用戶造成了不便。而對(duì)付DDoS，人們只能從網(wǎng)絡(luò)源頭、網(wǎng)絡(luò)運(yùn)營(yíng)商一級(jí)設(shè)置防火墻、過(guò)濾器等安全設(shè)備才能有效。