DoS是“拒絕服務”（Denial of Service）的縮寫，它是指故意攻擊網路協定的缺陷或直接通過野蠻手段耗盡受攻擊目標的資源，目的是讓目標電腦或網路無法提供正常的服務，甚至系統崩潰。早期的DoS攻擊都需要相當大的帶寬資源來實現，而以個人為單位的“入侵者”往往沒有這樣的條件。但是後來攻擊者發明了分散式的攻擊方式，即利用工具軟體集合許多的網路帶寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS（Distributed Denial Of Service）攻擊。簡而言之，DDoS攻擊是由“入侵者”集中控制、發動的一組DoS攻擊的集合，非常難以抵擋。
很多企業網站和個人網站都不止一次地遭遇過DoS/DDoS攻擊，由此也積累了一些“亡羊補牢”的經驗。前車之鑒能夠提醒我們注意：“為什麼我們這樣容易受到攻擊？如何才能防患於未然降低受攻擊的風險？”下面列出的就是筆者收集的十個預防、應對DoS/DDoS攻擊的有效方法：
1. 保留並定期查看各種日誌以助分析各種情況。
日誌看起來很枯燥，而且絕大多數時候沒什麼作用；可一旦意外發生，它就能為你提供很重要的資訊參考，每天下班前看一眼日誌吧。
2. 預先建立標準操作規程和應急操作規程。
前者簡稱SOPs，後者是EOPs，預先建立好規程並且處變不驚是一個合格網管員的基本素養。
3. 要有居安思危的思想準備。
遭遇攻擊往往沒有先兆，有備無患才是長治久安之計。
4. 網管員必須熟悉所有的配置細節。
如果你是半路接手工作，一定要向前任諮詢、核對清楚所有的工作細節。
5. 在本地和外網分別進行安全性測試。
“自測”不僅是演習，多給自己出一些安全性測試的難題能起到知己知彼的效用。
6. 提防錯誤配置造成的隱患。
錯誤配置通常發生在硬體搭配、伺服器系統或者應用程式中，有時候問題還很隱蔽。通過反復檢查來確保路由器、交換機等網路連接設備和伺服器系統都進行了正確的配置，這樣才會減小各種錯誤和入侵、攻擊發生的可能性。
7. 要熟悉過去的一些配置細節。
8. 一旦發現異常，要時刻警惕。
網管員最要不得的就是麻痹大意，凡事將就。
9. 把握好網路架構的繁簡程度和系統開銷、安全風險之間的平衡。
一味地添加設備並不等同於提高防護機制，網路系統一樣是因簡就奢易，因奢就簡難。
10. 通過安全防護來降低駭客攻擊的風險，比如安裝防火牆等安全設備

此文章轉載於 資安論壇