DOS攻击（拒绝服务攻击），通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。SANGFOR设备的防DOS攻击功能，也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击。SIG的DOS攻击功能，只关注LAN口方向。

防内网DOS攻击有三种检测方式：SYN泛洪、UDP泛洪、ICMP泛洪。

• SYN泛洪：攻击者发送TCP SYN，SYN是TCP三次握手中的第一个数据包，而当服务器返回ACK后，该攻击者就不对其进行再确认，那这个TCP连接就处于挂起状态，也就是所谓的半连接状态，服务器收不到再确认的话，还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接，由于每一个都没法完成三次握手，所以在服务器上，这些TCP连接会因为挂起状态而消耗CPU和内存，最后服务器可能死机，就无法为正常用户提供服务了。

• UDP泛洪：攻击者发送大量的UDP包给服务器，服务器发送大量回复。

• ICMP泛洪：攻击者发送数据包的源IP地址是被攻击者的IP地址，目的IP地址是被攻击者所在网段的广播地址，这样大量ICMP echo reply就到了被攻击者那里。

• 以下IP地址发起的攻击不会被拦截：对填入列表中的IP地址不进行DOS防御，比如内网有一台向公网提供服务的服务器，并且提供给公网的连接较多，此时建议将服务器的地址排除，避免被DOS防御认为是非法的。

• 点击<配置>，启用内网网段列表，可配置通过设备上网的内网网段，不在列表的用户默认为攻击用户。启用后不在列表内的用户数据无论是否被攻击会被拦截。

防内网DOS攻击处理动作可选择：告警通知、封锁攻击、推送EDR。

• 告警通知：是启用事件邮件告警功能，详细配置请参考告警选项章节。

• 封锁攻击：设置设备在检测到攻击以后对主机的封锁时间。

• 推送EDR：勾选推送EDR需先开启终端检测与响应的推送配置。

点击<提交>，用于保存配置。