拒絕服務攻擊是一種遍布全球的系統漏洞，黑客們正醉心于對它的研究，而無數的網絡用戶將成為這種攻擊的受害者。Tribe　Flood　Network,　tfn2k,　smurf,　targa…還有許多的程序都在被不斷的開發出來。這些程序想瘟疫一樣在網絡中散布開來，使得我們的村落更為薄弱，我們不得不找出一套簡單易用的安全解決方案來應付黑暗中的攻擊。

　　由于我們防范手段的加強，拒絕服務攻擊手法也在不斷的發展。 Tribe　Flood　Network　(tfn)　和tfn2k引入了一個新概念：分布式。這些程序可以使得分散在互連網各處的機器共同完成對一臺主機攻擊的操作，從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種類型的攻擊，如UDP　flood,　SYN　flood等。

　　操作系統和網絡設備的缺陷在不斷地被發現并被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點，我們應當使用下面的兩步來盡量阻止網絡攻擊保護我們的網絡:

    盡可能的修正已經發現的問題和系統漏洞。

    識別，跟蹤或禁止這些令人討厭的機器或網絡對我們的訪問。
 
　　我們先來關注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機，特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址，而冒用被攻擊者的地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這么簡單，而他只不過又提供了一個形象的界面。假如您遭到了分布式的拒絕服務攻擊，實在是很難處理。

　　有一些簡單的手法來防止拒絕服務式的攻擊。最為常用的一種當然是時刻關注安全信息以期待最好的方法出現。管理員應當訂閱安全信息報告，實時的關注所有安全問題的發展。：） 第二步是應用包過濾的技術，主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊，使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。

　　對于應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC　2267建議在全球范圍的互連網上使用向內過濾的機制，但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經滿載的骨干路由器上會受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的設備上。　ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然，這種過濾技術也并不是萬無一失的，這依賴于管理人員采用的過濾機制。

1．ICMP防護措施

　　ICMP最初開發出來是為了"幫助"網絡，經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒有遵守RFC 792原先制訂的標準，要執行一定的策略可以讓它變得安全一些。

　　入站的ICMP時間標記（Timestamp）和信息請求(Information Request)數據包會得到響應，帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包，從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。

　　以秘密形式從主方到客戶方發布命令的一種通用方法，就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答，一般不會被防火墻阻塞。

　　首先，我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器，但出站的ICMP回聲應該被限制只支持個人或單個服務器/ICMP代理（首選）。

　　如果我們限制ICMP回聲到一個外部IP地址（通過代理），則我們的ICMP回聲應答只能進入我們網絡中預先定義的主機。

　　重定向通常可以在路由器之間找到，而不是在主機之間。防火墻規則應該加以調整，使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行。

　　建議所有對外的傳輸都經過代理，對內的ICMP傳輸回到代理地址的時候要經過防火墻。這至少限制了ICMP超時數據包進入一個內部地址，但它可能阻塞超時數據包。

　　當ICMP數據包以不正確的參數發送時，會導致數據包被丟棄，這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包，并向發送者回送參數ICMP出錯數據包，指出壞的參數。

　　總的來說，只有公開地址的服務器（比如Web、電子郵件和FTP服務器）、防火墻、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當，實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。

2. SYN Flood防范

　　SYN Flood是當前最流行的DoS（拒絕服務攻擊）與DdoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。對于SYN Flood攻擊，目前尚沒有很好的監測和防御方法，不過如果系統管理員熟悉攻擊方法和系統架構，通過一系列的設定，也能從一定程度上降低被攻擊系統的負荷，減輕負面的影響。

　　一般來說，如果一個系統（或主機）負荷突然升高甚至失去響應，使用Netstat 命令能看到大量SYN_RCVD的半連接（數量>500或占總連接數的10%以上），可以認定，這個系統（或主機）遭到了SYN Flood攻擊。遭到SYN Flood攻擊后，首先要做的是取證，通過Netstat