分布式拒绝服务攻击，通过滥用正常的服务请求来过度消耗服务资源，导致合法用户无法获得应有的服务响应。

被DoS攻击时的现象大致有：

* 被攻击主机上有大量等待的TCP连接；

* 被攻击主机的系统资源被大量占用，造成系统停顿；

* 网络中充斥着大量的无用的数据包，源地址为假地址；

大量无效数据导致网络出现拥堵现象，受影响的主机无法与外部进行正常的通信。

通过利用受害主机所提供的服务或传输协议中存在的漏洞，不断以高频率发送特定类型的服务请求，导致受害主机难以在短时间内处理所有常规的请求。

* 严重时会造成系统死机。

截至目前，针对拒绝服务攻击，尤其是分布式拒绝服务攻击的防御仍面临较大挑战，尽管如此，我们仍能实施一系列策略来减轻其带来的负面影响。特别是对于中小型网站而言，以下几方面是防范的关键：

主机设置：

即对操作系统进行强化，调整各类系统参数以提升其稳定性。对多个操作系统，包括但不限于BSD系统及其内核中的特定参数进行重新编译或配置，能在一定程度上增强系统的抵御攻击的能力。

针对常见的DoS攻击形式，比如SYN攻击，它通过利用TCP/IP协议中的漏洞，向网络发送大量虚假的TCP连接请求，导致用户无法正常连接到服务，甚至可能使操作系统陷入瘫痪。这一攻击过程涉及系统内部的一些关键参数，包括等待数据包的最大连接数以及超时等待数据包的时间。因此，我们可以采取以下措施进行配置：

* 关闭不必要的服务；

将数据包的连接数调整至2048或更高，这一数值原本为128或512，旨在延长每次处理数据包队列的时长，从而更好地处理和吸收更多的数据包连接。

将超时时间设定得相对较短，以此确保数据包连接的顺畅，同时有效拦截非法攻击数据包。

* 及时更新系统、安装补丁。

防火墙设置：

仍以SYN 为例，可在防火墙上进行如下设置：

* 禁止对主机非开放服务的访问；

* 限制同时打开的数据包最大连接数；

* 限制特定IP地址的访问；

* 启用防火墙的防DDoS的属性；

对对外开放的服务器访问实施严格管控，旨在避免本服务器被恶意利用，成为攻击他人的工具。

此外，还可以采取如下方法：

Drop算法在流量超过既定阈值后，会依照既定规则丢弃后续的报文，以此确保主机处理能力的稳定。然而，这一算法的缺陷在于可能会错误地丢弃正常的数据包，尤其是在面对大流量数据包的攻击时，正常数据包如同大海中的一粟，很容易与非法数据包一同被排除在网络之外。

SYN算法通过实施六次握手策略来减少遭受攻击的可能性。然而，它的一个缺陷在于依赖于列表查询，当数据流量显著增加时，列表会迅速膨胀，导致计算需求上升，从而可能引发响应时间的延长，甚至导致系统崩溃。

由于DoS攻击种类较多，而防火墙只能抵挡有限的几种。

路由器设置：

以路由器为例，可采取如下方法：

* （CEF）；

* 使用 -path；

* 访问控制列表（ACL）过滤；

* 设置数据包流量速率；

* 升级版本过低的IOS；

* 为路由器建立log 。

在操作过程中，对CEF的运用以及相关配置需格外留心，否则可能引发路由器性能大幅降低。同时，对IOS的升级同样需要谨慎对待。

防火墙与路由器均作为通往外界的连接设备，在配置DDoS防御措施时，需兼顾可能对常规业务带来的影响，并权衡其代价，务必谨慎操作。

利用负载均衡技术：

将业务应用分散部署于数台独立的服务器，甚至跨不同地域。通过运用循环DNS服务或硬件路由器技术，将系统访问请求均衡分配至多台服务器。此方案需投入较高成本，且维护成本亦不菲，对于具备相应条件的中型网站而言，值得考虑。

针对流量较少、目标明确、结构较为简单的DoS攻击，此方法依然具备较强的防御效果。然而，面对DDoS攻击，我们则需要采取能够应对大规模流量的防御策略和技术，这要求我们能够整合多种算法，并集成多种网络设备的功能。

近期，国内外市场上涌现出不少采用此类集成技术的产品，例如IPS 4000、Mazu、Top等，以及我国本土的绿盟黑洞、东方龙马终结者等，它们均能有效抵御SYN、UDP、ICMP等大流量DDoS攻击，部分产品甚至还具备路由和交换的网络功能。对于具备实力的网站而言，直接引入这些产品是抵御DDoS攻击的一种便捷途径。然而，无论是境外的还是国内的解决方案，其在技术应用方面的可靠性以及可用性等方面仍有提升空间。这包括提升设备本身的高可靠性、增强处理速度和效率，以及加强功能的整合性等方面。

最后，我们需提出两种应对策略，以迅速恢复因遭受DoS攻击而陷入无响应状态的网站服务：

若存在多余的IP地址资源，可更换成一个新的IP地址，并将网站域名指向该新的IP地址。

关闭80端口，转而启用81号或其他端口来提供HTTP服务，并将网站域名解析至IP地址81。