網(wǎng)絡(luò)層DoS攻擊通常都是通過(guò)海量數(shù)據(jù)傳輸消耗網(wǎng)站的接入帶寬，從而干擾甚至阻止普通用戶對(duì)網(wǎng)站的正常訪問(wèn)，因而也被稱為“帶寬型攻擊”。這一類攻擊非常直觀，被攻擊服務(wù)器及相關(guān)的網(wǎng)絡(luò)設(shè)備上都能夠檢測(cè)出明顯的流量異常，而且隨著網(wǎng)絡(luò)接入帶寬的快速增長(zhǎng)和路由器、防火墻等網(wǎng)絡(luò)設(shè)備的部署和發(fā)展，對(duì)這一類攻擊的識(shí)別和防護(hù)已經(jīng)有了長(zhǎng)足的進(jìn)步，位于DMZ（Demilitarized Zone，非軍事區(qū)）的Web服務(wù)器已經(jīng)能夠在很大程度上避免受到侵害。

與此同時(shí)，由于網(wǎng)絡(luò)應(yīng)用的快速發(fā)展和豐富，Web服務(wù)器需要承載的功能越來(lái)越多，其對(duì)系統(tǒng)資源的消耗和需求也越來(lái)越高，從而使得應(yīng)用層DoS攻擊逐漸成為主流。與網(wǎng)絡(luò)層DoS攻擊對(duì)帶寬的侵蝕不同，應(yīng)用層DoS攻擊的目標(biāo)是主機(jī)系統(tǒng)，以消耗系統(tǒng)運(yùn)算和內(nèi)存等資源為目的。針對(duì)Web服務(wù)器的應(yīng)用層DoS攻擊可以從多方面進(jìn)行：攻擊者可以同時(shí)發(fā)起各種服務(wù)，可以發(fā)出海量訪問(wèn)請(qǐng)求，可以維持大量活動(dòng)連接，可以建立很多會(huì)話，也可以發(fā)出惡意請(qǐng)求造成服務(wù)器出現(xiàn)緩沖區(qū)溢出。這些攻擊都是基于HTTP協(xié)議而精心設(shè)計(jì)的，因此如果不能深刻理解HTTP協(xié)議并識(shí)別具體的訪問(wèn)請(qǐng)求，對(duì)目標(biāo)Web服務(wù)器的防護(hù)將很難進(jìn)行。

由于傳統(tǒng)上基于數(shù)據(jù)包的檢測(cè)通常都無(wú)法識(shí)別出應(yīng)用層DoS攻擊，基于路由器、防火墻或IPS的防護(hù)措施對(duì)此大都無(wú)能為力，即使是專門的“流量清洗”設(shè)備，其作用也非常有限。與此同時(shí)，梭子魚則憑借先進(jìn)的技術(shù)和深厚的積累提供了一個(gè)全面的解決方案：Web應(yīng)用防火墻。梭子魚Web應(yīng)用防火墻為Web服務(wù)器提供了全面的安全保護(hù)，針對(duì)應(yīng)用層DoS攻擊的防護(hù)措施包括：

·反向代理的工作模式

通過(guò)建立虛擬服務(wù)器對(duì)外服務(wù)，將真實(shí)的Web服務(wù)器隱藏，并只轉(zhuǎn)發(fā)設(shè)定端口（例如80／443等）的訪問(wèn)請(qǐng)求，從而減輕Web服務(wù)器的處理負(fù)擔(dān)。

·隊(duì)列控制

控制從單個(gè)IP地址發(fā)起的并發(fā)訪問(wèn)量，并維持訪問(wèn)隊(duì)列，從而限制單個(gè)用戶對(duì)系統(tǒng)資源的占用。

·訪問(wèn)頻率控制

如果某個(gè)源地址訪問(wèn)網(wǎng)站的頻率超過(guò)設(shè)定門檻，源自該地址的訪問(wèn)將被阻斷。

·會(huì)話跟蹤

如果某個(gè)地址訪問(wèn)網(wǎng)站時(shí)在一定時(shí)間內(nèi)新建應(yīng)用會(huì)話的數(shù)量超過(guò)設(shè)定門檻，該地址將不能繼續(xù)新建任務(wù)會(huì)話。

·HTTP請(qǐng)求限制

限制HTTP請(qǐng)求中各參數(shù)的長(zhǎng)度。這些限制能夠屏蔽惡意訪問(wèn)，使Web服務(wù)器只對(duì)正常請(qǐng)求作出回應(yīng)。

通過(guò)綜合運(yùn)用上述保護(hù)手段，梭子魚Web應(yīng)用防火墻能夠顯著提高Web服務(wù)器對(duì)應(yīng)用層DoS攻擊的防御能力，保證網(wǎng)站正常運(yùn)行。
如果有需要租用服務(wù)器與和托管服務(wù)器的敬請(qǐng)聯(lián)系QQ ：1501281758   聯(lián)系電話：0371-63322220