寻DOS攻击对策（200分）

最近常发生DOS攻击，不知有人有好的对策没有。
dos利用的是tcp/ip协议的设计漏洞。
一般的在socket上加上timeout就可以解决。

我对网站用的这套bbs软件不太熟悉（甚至不知道现在用的是什么OS）

不知道哪位熟悉这套源码的，有好的办法。我是不知道往哪里加。timeout的源码都是现成的，windows,unix（linux）的都有。


准备了200分 :cool:

一般的在socket上加上timeout就可以解决。
恐怕你的timeout很难决定
dos是最简单单也是最难防范的攻击

我想不出来有什么好招。

目前来说
dos攻击没有完全解决的办法
但是有一些折衷的办法
或许能减轻

绿盟http://www.nsfocus.com/homepage/index.htm在卖一款叫做“黑洞”的antidos产品，看介绍挺牛的，不过肯定特贵。

dos的防止，关键在于识别合法包和非法包...
这是难点。目前的作法是模拟握手，就是把握手提前到系统处理前，对于认为非法的连接丢掉。

www.linux-vs.org 上的lvs系统有一定的防止功能。但需要几台机器才行:) 它作的是集群系统。

光处理timeout是不行的. 如果你的超时太短，影响正常用户的访问。
而且即使你的timeout小，对方可以加大发包量，一样可以导致你的堆栈溢出而拒绝服务。 关键是识别包，或用什么手段找出非法包。

该问题的确不是一个工具，几个讨论就能解决的。
但本人认为，现在的DOS和DDOS有一个共同的特点。就是源IP地址要么不变（因为他来源于一个IP或代理IP）。要么完全随机（没任何规律）。
鉴于以上，我们可以考虑如下减缓的方法。
如果是来于一个IP，或仅有的几个IP。封该IP。
如果完全是随机数。事实上由于一个网站运行一段时间后，其访问用户趋于固定。因此其IP段也基本稳定。因此仅限于该段内的IP允许访问，其它拒绝。比如当发现DOS攻击时，仅允许本市范围内的IP访问从而减缓大量的攻击。

当然，任何读者都可以从我上面的访问中找到反例，但有防备总比没防备好，有准备总比没准备的好。