拒绝服务（DoS）：DoS是 Denial of service的简称，即拒绝服务，任何对服务的干涉，使得其可用性降低或者失去可用性均称为拒绝服务。例如一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

拒绝服务攻击即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。

DoS攻击有很多种手段，包括但不限于：UDP洪水攻击、Ping洪流攻击、teardrop攻击、Land攻击、Smurf攻击、Fraggle攻击等，但最常用的手段还是SYN Flood。SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（Distributed Denial Of Service分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。DDoS分布式拒绝服务攻击原理如图所示：

SYN Flood攻击的过程在TCP协议中被称为三次握手（Three-way Handshake），而SYN Flood拒绝服务。攻击就是通过三次握手而实现的：

（1）、攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN（Synchronize）即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

（2）、受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时，TCP序号被加一，ACK（Acknowledgment）即确认，这样就同被攻击服务器建立了第二次握手。

（3）、攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

用播打客服电话来比喻三次握手原则和DoS攻击原理比较形象：

如果用大量虚拟号码播打客服电话，但有不回应，就会造成客服平台崩溃，无法为正常的访问服务。SYN Flood攻击的原理与上述行为类似。

具体原理是：TCP连接的三次握手中，假设一个客户端向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的，那么第三次握手无法完成。这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30-60秒）。其实，当一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况（通过伪造大量IP地址），那么服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

实际上，如果服务器的TCP/IP栈不够强大，那么最后的结果往往是堆栈溢出崩溃；即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬其他客户端的正常请求（毕竟客户端的正常请求比率非常之小），此时，从正常客户端的角度看来，服务器失去响应，这种情况就称做：服务器端受到了SYN Flood攻击（也称SYN洪水攻击）。

iMAX无线系统支持防DoS攻击，主要得益于其软件防火墙Firewall技术和DoS攻击的鉴别能力。

具体的设置方法：开启iMAX无线系统的防火墙Firewall功能，并针对相应的接口设置策略，对于SYN Flood攻击，我们选择丢弃Drop策略即可。

其他DoS攻击的防范方法与上述方法基本类似,如针对Ping洪流攻击，防范原理就是首先通过防火墙Firewall禁止所有IP的ping访问，再通过访问控制列表把合法的网管机IP列为可访问的列表中即可实现防范与正常使用的结合。

无线系统大都采用透传原理简单传输，能够防范DoS攻击的少之又少，这也导致很多无线组网方案在实际部署时遇到DoS攻击等网络问题时束手无策，也许因为这一点，很多用户对无线网络的可靠性和安全性始终不够放心。其实，真正专业的无线城域网专网系统，如iMAX无线系统，常规的网络技术（路由、VLAN、VPN、防火墙等）大都是支持的，因为丰富的技术手段是构建可靠安全专网的不可或缺的。

利用技术手段，为用户提供安全、可靠、稳定的无线网络解决方案，是新竹科技一直以来坚持不懈的追求。关于iMAX无线系统的防火墙Firewall原理和设置可参照《iMAX无线系统防火墙Firewall技术简介》，或向新竹科技技术部咨询。欢迎垂询！