拒絕服務(wù)攻擊是一種遍布全球的系統(tǒng)漏洞，黑客們正醉心于對它的研究，而無數(shù)的網(wǎng)絡(luò)用戶將成為這種攻擊的受害者。Tribe　Flood　Network,　tfn2k,　smurf,　targa…還有許多的程序都在被不斷的開發(fā)出來。這些程序想瘟疫一樣在網(wǎng)絡(luò)中散布開來，使得我們的村落更為薄弱，我們不得不找出一套簡單易用的安全解決方案來應(yīng)付黑暗中的攻擊。

　　由于我們防范手段的加強，拒絕服務(wù)攻擊手法也在不斷的發(fā)展。 Tribe　Flood　Network　(tfn)　和tfn2k引入了一個新概念：分布式。這些程序可以使得分散在互連網(wǎng)各處的機器共同完成對一臺主機攻擊的操作，從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種類型的攻擊，如UDP　flood,　SYN　flood等。

　　操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的缺陷在不斷地被發(fā)現(xiàn)并被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點，我們應(yīng)當使用下面的兩步來盡量阻止網(wǎng)絡(luò)攻擊保護我們的網(wǎng)絡(luò):

    盡可能的修正已經(jīng)發(fā)現(xiàn)的問題和系統(tǒng)漏洞。

    識別，跟蹤或禁止這些令人討厭的機器或網(wǎng)絡(luò)對我們的訪問。
 
　　我們先來關(guān)注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機，特別是使用拒絕服務(wù)攻擊的機器。因為這些機器隱藏了他們自己的地址，而冒用被攻擊者的地址。攻擊者使用了數(shù)以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這么簡單，而他只不過又提供了一個形象的界面。假如您遭到了分布式的拒絕服務(wù)攻擊，實在是很難處理。

　　有一些簡單的手法來防止拒絕服務(wù)式的攻擊。最為常用的一種當然是時刻關(guān)注安全信息以期待最好的方法出現(xiàn)。管理員應(yīng)當訂閱安全信息報告，實時的關(guān)注所有安全問題的發(fā)展。：） 第二步是應(yīng)用包過濾的技術(shù)，主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊，使得外部機器無法假冒內(nèi)部機器的地址來對內(nèi)部機器發(fā)動攻擊。

　　對于應(yīng)該使用向內(nèi)的包過濾還是使用向外的包過濾一直存在著爭論。RFC　2267建議在全球范圍的互連網(wǎng)上使用向內(nèi)過濾的機制，但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經(jīng)滿載的骨干路由器上會受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉(zhuǎn)移到一些不太忙的設(shè)備上?！SP也不關(guān)心消費者是否在他們的邊界路由器上使用這種技術(shù)。當然，這種過濾技術(shù)也并不是萬無一失的，這依賴于管理人員采用的過濾機制。

1．ICMP防護措施

　　ICMP最初開發(fā)出來是為了"幫助"網(wǎng)絡(luò)，經(jīng)常被廣域網(wǎng)管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒有遵守RFC 792原先制訂的標準，要執(zhí)行一定的策略可以讓它變得安全一些。

　　入站的ICMP時間標記（Timestamp）和信息請求(Information Request)數(shù)據(jù)包會得到響應(yīng)，帶有非法或壞參數(shù)的偽造數(shù)據(jù)包也能產(chǎn)生ICMP參數(shù)問題數(shù)據(jù)包，從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。

　　以秘密形式從主方到客戶方發(fā)布命令的一種通用方法，就是使用ICMP Echo應(yīng)答數(shù)據(jù)包作為載波。 回聲應(yīng)答本身不能回答，一般不會被防火墻阻塞。

　　首先，我們必須根據(jù)出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器，但出站的ICMP回聲應(yīng)該被限制只支持個人或單個服務(wù)器/ICMP代理（首選）。

　　如果我們限制ICMP回聲到一個外部IP地址（通過代理），則我們的ICMP回聲應(yīng)答只能進入我們網(wǎng)絡(luò)中預(yù)先定義的主機。

　　重定向通?？梢栽诼酚善髦g找到，而不是在主機之間。防火墻規(guī)則應(yīng)該加以調(diào)整，使得這些類型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進行。

　　建議所有對外的傳輸都經(jīng)過代理，對內(nèi)的ICMP傳輸回到代理地址的時候要經(jīng)過防火墻。這至少限制了ICMP超時數(shù)據(jù)包進入一個內(nèi)部地址，但它可能阻塞超時數(shù)據(jù)包。

　　當ICMP數(shù)據(jù)包以不正確的參數(shù)發(fā)送時，會導(dǎo)致數(shù)據(jù)包被丟棄，這時就會發(fā)出ICMP參數(shù)出錯數(shù)據(jù)包。主機或路由器丟棄發(fā)送的數(shù)據(jù)包，并向發(fā)送者回送參數(shù)ICMP出錯數(shù)據(jù)包，指出壞的參數(shù)。

　　總的來說，只有公開地址的服務(wù)器（比如Web、電子郵件和FTP服務(wù)器）、防火墻、聯(lián)入因特網(wǎng)的路由器有真正的理由使用ICMP與外面的世界對話。如果調(diào)整適當，實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。

2. SYN Flood防范

　　SYN Flood是當前最流行的DoS（拒絕服務(wù)攻擊）與DdoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。對于SYN Flood攻擊，目前尚沒有很好的監(jiān)測和防御方法，不過如果系統(tǒng)管理員熟悉攻擊方法和系統(tǒng)架構(gòu)，通過一系列的設(shè)定，也能從一定程度上降低被攻擊系統(tǒng)的負荷，減輕負面的影響。

　　一般來說，如果一個系統(tǒng)（或主機）負荷突然升高甚至失去響應(yīng)，使用Netstat 命令能看到大量SYN_RCVD的半連接（數(shù)量>500或占總連接數(shù)的10%以上），可以認定，這個系統(tǒng)（或主機）遭到了SYN Flood攻擊。遭到SYN Flood攻擊后，首先要做的是取證，通過Netstat