web服務器在處理請求的時候會涉及三個層次，第一個層析是tcp連接的層次，第二個層次是http請求的層次，第三個層次是業務處理的層次，每個層次都可能存在dos***，所要作的預防措施就是每個更低的層次未決之前不為其分配上層資源，具體來說就是，tcp三次握手沒有完成就不為之分配連接所需的內存資源，這個通過syn cookie可以完成，syn cookie的linux實現中順便攜帶了一個時間參數可以很好的處理超時，三次握手雖然完成了，但是http請求沒有發到之前不為之指派處理進程，從完成三次握手到收到http請求，也需要一個時間限制，時間到連接斷開，這個可以通過TCP_DEFER_ACCEPT來實現，同樣的道理，雖然收到了http請求，不能確定業務之前也不要為之指派業務處理器...這樣就可以避免很多的dos***。 不光是web處理器需要這樣配置，任何的網絡服務都可以類似的分成若干層次，下層幫忙在有限的時間內得到上層的邏輯頭之后再將請求往上層遞交，限制時間到了的話本次請求直接丟棄。這個思想雖然違背一些分層原則，在層級之間插入了一把鉤子，然而卻可以避免很多的基于連接的***--上層的半連接***對于下層就是全連接***。要知道，***者是不會遵循什么原則的，因此也別指望他們完全遵循分層原則。

轉載于:https://blog.51cto.com/dog250/1271182

總結

以上是生活随笔為你收集整理的网络服务器预防dos***的层次的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。