FTP服務器防范服務攻擊的方法：1、加固操作系統，對操作系統參數進行配置，重新編譯或設置 BSD系統等操作系統內核中的某些參數；2、在公司網絡服務器和外部網絡之間增設防火墻，可以保護內部網絡不受外部網絡的非授權訪問，阻止DoS攻擊，有效保護內部服務器。

具體內容如下：

1、加固操作系統

加固操作系統，即對操作系統參數進行配置以加強系統的穩固性，重新編譯或設置 BSD系統等操作系統內核中的某些參數，提高系統的抗攻擊能力。例如，DoS攻擊的典型種類——SYN Flood，利用TCP/IP協議漏洞發送大量偽造的TCP連接請求，以造成網絡無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數：可等待的數據包的鏈接數和超時等待數據包的時間長度。用戶可以將數據包的鏈接數從缺省值128或512修改為2048或更大，加長每次處理數據包隊列的長度，以緩解和消化更多數據包的攻擊;此外，用戶還可將超時時間設置得較短，以保證正常數據包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

2、增設防火墻

我們可以在公司網絡服務器和外部網絡之間的增設一道屏障，以防止發生不可預測的、潛在破壞性的侵入，那就是增設一個防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網絡與內部網絡隔開，它可以保護內部網絡不受外部網絡的非授權訪問，因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。我們可以把FTP服務器放在防火墻的DMZ區，讓其既可以接受來自Internet的訪問，又可以受到防火墻的安全保護。針對SYN Flood，防火墻通常有三種防護方式：SYN網關、被動式SYN網關和SYN中繼。

(1)SYN網關

防火墻收到客戶端的SYN包時，直接轉發給服務器;防火墻收到服務器的SYN/ACK包后，一方面將SYN/ACK包轉發給客戶端，另一方面以客戶端的名義給服務器回送一個ACK包，完成TCP的三次握手，讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時，有數據則轉發給服務器，否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多，所以這種方法能有效地減輕對服務器的攻擊。

(2)被動式SYN網關

設置防火墻的SYN請求超時參數，讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包，服務器發往客戶端的SYN/ACK 包、以及客戶端發往服務器的ACK包。這樣，如果客戶端在防火墻計時器到期時還沒發送ACK包，防火墻則往服務器發送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限，因此這樣能有效防止SYN Flood攻擊。

(3)SYN中繼

防火墻在收到客戶端的SYN包后，并不向服務器轉發而是記錄該狀態信息然后主動給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務器發送SYN包并完成三次握手。