DoS是“拒绝服务”（Denial of Service）的缩写，它是指故意攻击网路协定的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标电脑或网路无法提供正常的服务，甚至系统崩溃。早期的DoS攻击都需要相当大的带宽资源来实现，而以个人为单位的“入侵者”往往没有这样的条件。但是后来攻击者发明了分散式的攻击方式，即利用工具软体集合许多的网路带宽来同时对同一个目标发动大量的攻击请求，这就是DDoS（Distributed Denial Of Service）攻击。简而言之，DDoS攻击是由“入侵者”集中控制、发动的一组DoS攻击的集合，非常难以抵挡。
很多企业网站和个人网站都不止一次地遭遇过DoS/DDoS攻击，由此也积累了一些“亡羊补牢”的经验。前车之鉴能够提醒我们注意：“为什么我们这样容易受到攻击？如何才能防患于未然降低受攻击的风险？”下面列出的就是笔者收集的十个预防、应对DoS/DDoS攻击的有效方法：
1. 保留并定期查看各种日志以助分析各种情况。
日志看起来很枯燥，而且绝大多数时候没什么作用；可一旦意外发生，它就能为你提供很重要的资讯参考，每天下班前看一眼日志吧。
2. 预先建立标准操作规程和应急操作规程。
前者简称SOPs，后者是EOPs，预先建立好规程并且处变不惊是一个合格网管员的基本素养。
3. 要有居安思危的思想准备。
遭遇攻击往往没有先兆，有备无患才是长治久安之计。
4. 网管员必须熟悉所有的配置细节。
如果你是半路接手工作，一定要向前任谘询、核对清楚所有的工作细节。
5. 在本地和外网分别进行安全性测试。
“自测”不仅是演习，多给自己出一些安全性测试的难题能起到知己知彼的效用。
6. 提防错误配置造成的隐患。
错误配置通常发生在硬体搭配、伺服器系统或者应用程式中，有时候问题还很隐蔽。通过反复检查来确保路由器、交换机等网路连接设备和伺服器系统都进行了正确的配置，这样才会减小各种错误和入侵、攻击发生的可能性。
7. 要熟悉过去的一些配置细节。
8. 一旦发现异常，要时刻警惕。
网管员最要不得的就是麻痹大意，凡事将就。
9. 把握好网路架构的繁简程度和系统开销、安全风险之间的平衡。
一味地添加设备并不等同于提高防护机制，网路系统一样是因简就奢易，因奢就简难。
10. 通过安全防护来降低骇客攻击的风险，比如安装防火墙等安全设备

此文章转载于 资安论坛