今天上午同事接到號碼為:2631805456 的QQ聊天信息，大概意思是準備利用DDOS攻擊我們“百恒南昌做網(wǎng)站”的主頁，讓我們小心提防。這么好心提醒、讓你做好準備迎接攻擊？難道是傳說中的中國“紅客”，俠盜之流？我就開始納悶了，我們百恒在網(wǎng)絡(luò)上一直都很低調(diào)，也不曾得罪過哪路神仙，憑什么攻擊我們呢？目的何在？然而，細看他與同事的聊天記錄，不難發(fā)現(xiàn)他原來是真有目的的。是否真正蓄意攻擊目前還不得而知，但是恐嚇與嫁禍他人的真實意途已經(jīng)很明顯，只是這種小屁孩的手段讓他的慌言不攻自破。下面把同事與他的聊天記錄貼上：

    不可否認，中國的網(wǎng)絡(luò)高手數(shù)不勝數(shù)，如果真的有意攻擊某個站點服務(wù)器，也并非難事。當然高手一般都深藏不露，黑你的站于無形當中，很少留下任何蛛絲馬跡。高手一般是不會輕易出招的。也很少因你的網(wǎng)站在百度排名較好而眼紅去攻擊你的站。像這樣先拍你一下然后跟你說：我要打你了，你做好準備的把戲，只有在劇情中才會出現(xiàn)吧。誰不怕做壞事后被抓接受法律的制裁呢？

    既然提到DDOS攻擊，那百恒工程師就為大家整理一下傳說中的DDOS攻擊：（部分資料摘抄于百度百科，由SYN和青島迅博信息技術(shù)提供）

    DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊)，很多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。

    說到DDOS攻擊，還得先從DOS攻擊開始，因為他是由傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的另一類更加強大攻擊方式。最早單一的DoS攻擊一般是采用一對一的方式，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。當被攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標不高，它的攻擊效果也是很明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 - 被攻擊目標對惡意攻擊包的"消化能力"加強了很多，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但被攻擊的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣我們的一對一單挑式攻擊就沒有什么作用了，搞不好自己的機子就會死掉。這時候分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。它的原理就很簡單，如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用10臺攻擊機同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。 

DDOS攻擊原理
　　通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請求，使服務(wù)器超負荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧！DoS是Denial of Service的簡寫就是拒絕服務(wù)，DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù)，而DRDoS就是Distributed Reflection Denial of Service的簡寫，這是分布反射式拒絕服務(wù)的意思。不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。
　　一個比較完善的DDoS攻擊體系分成4大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。
    有的朋友也許會問道："為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后，高水平的攻擊者會首先做兩件事：1. 考慮如何留好后門！2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。
 　但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。

被DDoS攻擊時的現(xiàn)象
　　能瞬間造成對方電腦死機或者假死，有人曾經(jīng)測試過，攻擊不到1秒鐘，電腦就已經(jīng)死機和假死，鼠標圖標不動了，系統(tǒng)發(fā)出滴滴滴滴的聲音。從而使被攻擊服務(wù)器停止正常運行，造成網(wǎng)絡(luò)訪問不穩(wěn)定！

DDOS的防護方法
1 手工防護
　　一般而言手工方式防護DDOS主要通過兩種形式：
 　 系統(tǒng)優(yōu)化――主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù)，提高系統(tǒng)本身對DDoS攻擊的響應(yīng)能力。但是這種做法只能針對小規(guī)模的DDOS進行防護。
 　網(wǎng)絡(luò)追查――遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級網(wǎng)絡(luò)運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。
2 退讓策略
　　為了抵抗DDOS攻擊，客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS的能力。但是這種退讓策略的效果并不好，一方面由于這種方式的性價比過低，另一方面，黑客提高供給流量之后，這種方法往往失效，所以不能從根本意義上防護DDoS攻擊。
3 路由器
　　通過路由器，我們可以實施某些安全措施，比如ACL等，這些措施從某種程度上確實可以過濾掉非法流量。一般來說，ACL可以基于協(xié)議或源地址進行設(shè)置，但是目前眾多的DDOS攻擊采用的是常用的一些合法協(xié)議，比如http協(xié)議，這種情況下，路由器就無法對這樣的流量進行過濾。同時，如果DDOS攻擊采用地址欺騙的技術(shù)偽造數(shù)據(jù)包，那么路由器也無法對這種攻擊進行有效防范。 　　另一種基于路由器的防護策略是采用Unicast Reverse Path Forwarding (uRPF)在網(wǎng)絡(luò)邊界來阻斷偽造源地址IP的攻擊，但是對于今天的DDOS攻擊而言，這種方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通過判斷出口流量的源地址，如果不屬于內(nèi)部子網(wǎng)的則給予阻斷。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進行DDoS攻擊，這樣就完全可以繞過uRPF防護策略。除此之外，如果希望uRPF策略能夠真正的發(fā)揮作用，還需要在每個潛在攻擊源的前端路由器上配置uRPF，但是要實現(xiàn)這種情況，現(xiàn)實中幾乎不可能做到。
4 防火墻
　　防火墻幾乎是最常用的安全產(chǎn)品，但是防火墻設(shè)計原理中并沒有考慮針對DDOS攻擊的防護，在某些情況下，防火墻甚至成為DDOS攻擊的目標而導(dǎo)致整個網(wǎng)絡(luò)的拒絕服務(wù)。 　　首先是防火墻缺乏DDOS攻擊檢測的能力。通常，防火墻作為三層包轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中，一方面在保護內(nèi)部網(wǎng)絡(luò)的同時，它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路，如果DDOS攻擊采用了這些服務(wù)器允許的合法協(xié)議對內(nèi)部系統(tǒng)進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內(nèi)置了某些模塊能夠?qū)�攻擊進行檢測，但是這些檢測機制一般都是基于特征規(guī)則，DDOS攻擊者只要對攻擊數(shù)據(jù)包稍加變化，防火墻就無法應(yīng)對，對DDOS攻擊的檢測必須依賴于行為模式的算法。
 　 第二個原因就是傳統(tǒng)防火墻計算能力的限制，傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成包轉(zhuǎn)發(fā)的任務(wù)。 　　最好防火墻的部署位置也影響了其防護DDOS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網(wǎng)絡(luò)入口位置，雖然某種意義上保護了網(wǎng)絡(luò)內(nèi)部的所有資源，但是其往往也成為DDOS攻擊的目標，攻擊者一旦發(fā)起DDOS攻擊，往往造成網(wǎng)絡(luò)性能的整體下降，導(dǎo)致用戶正常請求被拒絕。
5 入侵檢測
　　目前IDS系統(tǒng)是最廣泛的攻擊檢測工具，但是在面臨DDOS攻擊時，IDS系統(tǒng)往往不能滿足要求。
 　 原因其一在于入侵檢測系統(tǒng)雖然能夠檢測應(yīng)用層的攻擊，但是基本機制都是基于規(guī)則，需要對協(xié)議會話進行還原，但是目前DDoS攻擊大部分都是采用基于合法數(shù)據(jù)包的攻擊流量，所以IDS系統(tǒng)很難對這些攻擊有效檢測。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實施成本和易用性極低。
　　原因之二就在于IDS系統(tǒng)一般對攻擊只進行檢測，但是無法提供阻斷的功能。IDS系統(tǒng)需要的是特定攻擊流檢測之后實時的阻斷能力，這樣才能真正意義上減緩DDOS對于網(wǎng)絡(luò)服務(wù)的影響。
　　IDS系統(tǒng)設(shè)計之初就是作為一種基于特征的應(yīng)用層攻擊檢測設(shè)備。而DDOS攻擊主要以三層或是四層的協(xié)議異常為其特點，這就注定了IDS技術(shù)不太可能作為DDOS的檢測或是防護手段。目前的防御算法對所有已知的拒絕服務(wù)攻擊是免疫的，也就是說，是完全可以抵抗已知DoS/DDoS攻擊的。
對于DDOS防御的理解
　　對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。

　　DDoS防御的方法總結(jié)：
　　1．采用高性能的網(wǎng)絡(luò)設(shè)備
　　首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
　　2．盡量避免NAT的使用 　
  　無論是路由器還是硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力，其實原因很簡單，因為NAT需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。
 　 3．充足的網(wǎng)絡(luò)帶寬保證
　　網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。
 　　4．升級主機服務(wù)器硬件
 　　在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。
 　　5．把網(wǎng)站做成靜態(tài)頁面
 　　大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務(wù)器，當然，適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
 　　6．增強操作系統(tǒng)的TCP/IP棧
 　　Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，自己去看微軟的文章吧！《強化 TC
P/IP 堆棧安全》。 　　也許有的人會問，那我用的是Linux和FreeBSD怎么辦？很簡單，按照這篇文章去做吧！《SYN Cookies》。
 　　7．安裝專業(yè)抗DDOS防火墻
 　　綠盟黑洞： X86架構(gòu)，Linux內(nèi)核與自主專利的抗syn-flood算法。對抗單一類型的syn，udp，icmp dos效果很好，但是當多種混合時效果就略差。優(yōu)點是更新快，技術(shù)支持比較好，在100M環(huán)境下對syn-flood有絕對優(yōu)勢。缺點是文檔和信息缺乏，同時工作(軟硬件兩方面)不是很穩(wěn)定。
 　　金盾抗拒絕服務(wù)系統(tǒng)：金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，對SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，F(xiàn)ragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各種常見的攻擊行為均可有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷，保護服務(wù)主機免于攻擊所造成的損失。內(nèi)建的WEB保護模式及游戲保護模式，徹底解決針對此兩種應(yīng)用的DOS攻擊方式。金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測及防護外，還提供了面向報文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標志位，關(guān)鍵字等，極大的提高了通用性及防護力度。同時，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護、漏洞檢測等多項功能，易于使用。
　　天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核，X86架構(gòu)，現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗syn-flood功能，實際應(yīng)該是syn-cache/syn-cookie的改進或加強版。實際測試syn流量64B包抵抗極限大概是25M左右。當小于20M是還是可以看到效果的。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。 　　一己拙見： 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好，當然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說，買個防火墻同時兼有簡單的抗syn功能倒也不錯。
 　8．其他防御措施
  　以上幾條對抗DDOS建議，適合絕大多數(shù)擁有自己主機的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負載均衡技術(shù)，甚至需要購買七層交換機設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。

DDOS應(yīng)付方法
　　DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規(guī)方法。
　　1．定期掃描
　　要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點的都是服務(wù)器級別的計算機，所以定期掃描漏洞就變得更加重要了。
 　 2．在骨干節(jié)點配置防火墻
 　　防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導(dǎo)向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導(dǎo)向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
 　 3．用足夠的機器承受黑客攻擊
 　　這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實際運行情況不相符。
 　 4．充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源
 　　所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護起來。當網(wǎng)絡(luò)被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復(fù)正常，而且啟動起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務(wù)器又是一個漫長的過程。特別是一個公司使用了負載均衡設(shè)備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
 　 5．過濾不必要的服務(wù)和端口
　　過濾不必要的服務(wù)和端口，即在路由器上過濾假IP……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
 　 6．檢查訪問者的來源
 　 使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。
 　 7．過濾所有RFC1918 IP地址
　　RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網(wǎng)段的固定的IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問，而是將攻擊時偽造的大量虛假內(nèi)部IP過濾，這樣也可以減輕DdoS的攻擊。
 　 8．限制SYN/ICMP流量
　　用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

   最后為今天的事做個總結(jié)：小蟲還是那句話，在網(wǎng)絡(luò)路上想走得長久，走得穩(wěn)。還是得務(wù)實本分，憑真功夫真刀實槍地干。你妒忌別人在百度上排名好，那你就把自己也排上去，�；ㄕ胁凰愦蟊臼拢�也成不了氣候的。因為魔高一尺，道高一丈!沒準哪到被收監(jiān)就更不劃算了。