與正常訪問相比，DoS（Denial-of-Service，拒絕服務(wù)）攻擊并沒有突出的特征，因而一直以來都比較缺乏有效的防護(hù)手段。對網(wǎng)站而言，除了一般的網(wǎng)絡(luò)層攻擊，還必須應(yīng)對應(yīng)用層的各種攻擊手段。

網(wǎng)絡(luò)層DoS攻擊通常都是通過海量數(shù)據(jù)傳輸消耗網(wǎng)站的接入帶寬，從而干擾甚至阻止普通用戶對網(wǎng)站的正常訪問，因而也被稱為“帶寬型攻擊”。這一類攻擊非常直觀，被攻擊服務(wù)器及相關(guān)的網(wǎng)絡(luò)設(shè)備上都能夠檢測出明顯的流量異常，而且隨著網(wǎng)絡(luò)接入帶寬的快速增長和路由器、防火墻等網(wǎng)絡(luò)設(shè)備的部署和發(fā)展，對這一類攻擊的識別和防護(hù)已經(jīng)有了長足的進(jìn)步，位于DMZ（Demilitarized Zone，非軍事區(qū)）的Web服務(wù)器已經(jīng)能夠在很大程度上避免受到侵害。

與此同時(shí)，由于網(wǎng)絡(luò)應(yīng)用的快速發(fā)展和豐富，Web服務(wù)器需要承載的功能越來越多，其對系統(tǒng)資源的消耗和需求也越來越高，從而使得應(yīng)用層DoS攻擊逐漸成為主流。與網(wǎng)絡(luò)層DoS攻擊對帶寬的侵蝕不同，應(yīng)用層DoS攻擊的目標(biāo)是主機(jī)系統(tǒng)，以消耗系統(tǒng)運(yùn)算和內(nèi)存等資源為目的。針對Web服務(wù)器的應(yīng)用層DoS攻擊可以從多方面進(jìn)行：攻擊者可以同時(shí)發(fā)起各種服務(wù)，可以發(fā)出海量訪問請求，可以維持大量活動連接，可以建立很多會話，也可以發(fā)出惡意請求造成服務(wù)器出現(xiàn)緩沖區(qū)溢出。這些攻擊都是基于HTTP協(xié)議而精心設(shè)計(jì)的，因此如果不能深刻理解HTTP協(xié)議并識別具體的訪問請求，對目標(biāo)Web服務(wù)器的防護(hù)將很難進(jìn)行。

由于傳統(tǒng)上基于數(shù)據(jù)包的檢測通常都無法識別出應(yīng)用層DoS攻擊，基于路由器、防火墻或IPS的防護(hù)措施對此大都無能為力，即使是專門的“流量清洗”設(shè)備，其作用也非常有限。與此同時(shí)，梭子魚則憑借先進(jìn)的技術(shù)和深厚的積累提供了一個全面的解決方案：Web應(yīng)用防火墻。梭子魚Web應(yīng)用防火墻為Web服務(wù)器提供了全面的安全保護(hù)，針對應(yīng)用層DoS攻擊的防護(hù)措施包括：

·反向代理的工作模式

通過建立虛擬服務(wù)器對外服務(wù)，將真實(shí)的Web服務(wù)器隱藏，并只轉(zhuǎn)發(fā)設(shè)定端口（例如80／443等）的訪問請求，從而減輕Web服務(wù)器的處理負(fù)擔(dān)。

·隊(duì)列控制

控制從單個IP地址發(fā)起的并發(fā)訪問量，并維持訪問隊(duì)列，從而限制單個用戶對系統(tǒng)資源的占用。

·訪問頻率控制

如果某個源地址訪問網(wǎng)站的頻率超過設(shè)定門檻，源自該地址的訪問將被阻斷。

·會話跟蹤

如果某個地址訪問網(wǎng)站時(shí)在一定時(shí)間內(nèi)新建應(yīng)用會話的數(shù)量超過設(shè)定門檻，該地址將不能繼續(xù)新建任務(wù)會話。

·HTTP請求限制

限制HTTP請求中各參數(shù)的長度。這些限制能夠屏蔽惡意訪問，使Web服務(wù)器只對正常請求作出回應(yīng)。

通過綜合運(yùn)用上述保護(hù)手段，梭子魚Web應(yīng)用防火墻能夠顯著提高Web服務(wù)器對應(yīng)用層DoS攻擊的防御能力，保證網(wǎng)站正常運(yùn)行。