DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。如：

　　* 试图FLOOD服务器，阻止合法的网络通讯

　　* 破坏两个机器间的连接，阻止访问服务

　　* 阻止特殊用户访问服务

　　* 破坏服务器的服务或者导致服务器死机

　　不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

　　实施DoS攻击的工具易得易用，而且效果明显。仅在美国，每周的DoS攻击就超过4 000次，攻击每年造成的损失达上千万美元。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。可以毫不夸张地说，电子恐怖活动的时代已经来临。

　　DoS 攻 击 中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。特别是对DDoS攻击，最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤，则事实上造成了新的DDS攻击。为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。

　　为防止DOS攻击，可以在CISCO路由器上做如下设置：

　　1)定义一个acl，目的是要保护的机器：

　　access-list 101 per tcp any host 202.106.0.20

　　由于没必要匹配源地址，一般的dos都伴随着地址欺骗，所以这里的source都是any.

　　2)全局下开启tcp intercept.

　　ip tcp intercept list 101

　　3)设置tcp拦截的模式，tcp拦截有两种模式一种是拦截，一种是监视。拦截模式像是一个找茬的流氓，看谁都不爽，见谁都打。监视模式是一个稍微理性一点的流氓，仅仅当别人在他家门口那片空地赌着不走的时候才大打出手(默认是30 秒)。见谁都打，肯定累啊。我们要理性一点。

　　ip tcp intercept mode watch

　　ip tcp intercept watch-timeout 20

　　4)另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间，默认24小时，一般网中特殊服务的需要长连接的应用时候30分钟足咦

　　ip tcp intercept connection-timeout 1800

　　5)对于最大半开连接的门限也是可以更改的。默认low 900，high 1100.

　　ip tcp intercept max-incomplete low 800

　　ip tcp intercept max-incomplete high 1000

　　6)状态查看

　　show tcp intercept connecitons

　　show tcp intercept statistics

　　本文原文来自: http://www.ixpub.net/thread-899902-1-15.html