在今天的信息时代，计算机网络的应用已经涉及到了社会的方方面面，人们的生活与网络密不可分，从而网络系统的安全、可靠性也成为用户最为关注的焦点。这里我们浅析ddos(分布式拒绝服务攻击)的原理,起源和防范，从而对分布式拒绝服务攻击手段进行了较为全面地剖析，并提出了防范ddos攻击的一些可行性措施。

      一、ISP / ICP管理员
　　ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为黑客最喜欢的"肉鸡"，因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。       二、企业网管理员
　　网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。
主机上的设置，几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：
1、关闭不必要的服务
　　限制同时打开的Syn半连接数目
　　缩短Syn半连接的time out 时间
　　及时更新系统补丁
2、网络设备上的设置
　　企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。
  ①防火墙
  禁止对主机的非开放服务的访问
　　限制同时打开的SYN最大连接数
　　限制特定IP地址的访问
　　启用防火墙的防DDoS的属性
　　严格限制对外开放的服务器的向外访问
  第五项主要是防止自己的服务器被当做工具去害人。
  ②路由器
  以Cisco路由器为例 
　　Cisco Express Forwarding（CEF）
　　使用 unicast reverse-path
　　访问控制列表（ACL）过滤
　　设置SYN数据包流量速率 
　　升级版本过低的ISO
　　为路由器建立log server
  其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，与大家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup config；而如果不满意想恢复原来的配置，用copy start run就行了。

       兵来将挡，水来土掩，有攻必有防。互联网的安全还需要我们共同的努力！