何为DDoS攻击？DDoS防御的11种方针详解

对于遭受DDOS如果我们有好的，攻击就很尴尬了DDoS防御方法，那么很多问题就会迎刃而解，我们来看看我们常用的有效方法DDoS防御呢。

对于DDoS理解防御：

对付DDOS它是一个系统工程，只想依靠某个系统或产品来阻止它DDOS这是不现实的，完全杜绝是不现实的DDOS目前不可能，但通过适当的措施抵抗90%DDoS如果以适当的方式增强抵抗力，攻击是可以做到的DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

举个例子：

我开了一家餐馆。正常情况下，最多可容纳30人同时吃饭。你可以直接走进餐厅，找一张桌子坐下来点餐，马上吃。

不幸的是，我得罪了一个流氓。他派了300人同时冲进餐厅。这些人看起来像普通顾客，每个人都说"赶快上餐"。然而，餐厅的容量只有30人，不可能同时满足这么多的订购需求。此外，他们堵住了门，里面三层，外面三层。正常用餐的客人根本进不去，但实际上他们瘫痪了餐厅。

这就是DDoS攻击，它在短时间内发起大量请求，耗尽服务器资源，无法响应正常访问，导致网站实质性下线。

DDoS里面的DoS是denialofservice缩写(停止服务)意味着这种攻击的目的是中断服务。前面的D是distributed(分布式)意味着攻击不是来自一个地方，而是来自四面八方，所以更难防范。你关上前门，他从后门进来；你关上后门，他从窗户跳了起来。

DDoS防御方法：

1.采用高性能的网络设备

首先，我们应该确保网络设备不能成为瓶颈。因此，在选择路由器、交换机、硬件防火墙等设备时，应尽量选择知名度高、信誉好的产品。此外，最好与网络提供商有特殊关系或协议。当发生大量攻击时，请在网络连接处对某些类型进行流量限制DDoS攻击非常有效。

这就是传说中的技术不钱凑。

2.尽量避免NAT的使用

路由器和硬件防护墙设备应尽量避免网络地址转换NAT原因很简单，因为使用这种技术会大大降低网络通信能力NAT地址需要来回转换，网络包在转换过程中需要验证和计算，浪费了很多CPU但有时必须使用时间NAT，没有好办法。

3.网络带宽保证充足

如果只有10，网络带宽直接决定了抵抗攻击的能力M无论采取什么措施，带宽都很难对抗现在SYNFlood目前至少要选择100次攻击M当然，最好的共享带宽是1000M主干上了。但需要注意的是，主机上的网卡是1000M如果将其连接到100，并不意味着其网络带宽为千兆M在交换机上，其实际带宽不超过100M，再就是接在100M由于网络服务提供商很可能在交换机上将实际带宽限制为10，因此带宽不等于10兆的带宽M，这一点必须弄清楚。

4.升级主机服务器硬件

在网络带宽保证的前提下，请尽量改进硬件配置，每秒有效对抗10万个硬件配置SYN服务器的配置至少应为攻击包：P42.4G/DDR512M/SCSI-HD，主要作用是CPU和内存，如果有志强双CPU用它，内存必须选择DDR硬盘应尽可能选择高速内存SCSI的，别只贪IDE便宜的价格不贵，否则会付出高昂的性能代价，然后网卡必须选择3COM或Intel等名牌，如果Realtek还是用在自己PC上吧。

5.将网站制作成静态页面或伪静态

大量事实证明，尽可能将网站制作成静态页面，不仅可以大大提高抗攻击能力，还会给黑客入侵带来很多麻烦，至少到目前为止HTML溢出还没有出现，看看！新浪、搜狐、网易等门户网站主要是静态页面。如果不需要动态脚本调用，可以拿到另一个单独的主机，避免攻击时对主服务器造成麻烦。当然，不做数据库调用脚本也可以放一些。另外，最好在需要调用数据库的脚本中拒绝使用代理访问，因为经验表明80%的代理访问你的网站是恶意的。

6.加强操作系统TCP/IP栈

Win2000和Win作为服务器操作系统，2003本身就有一定的抵抗力DDoS攻击能力，只是默认状态下没有打开，如果打开可以抵抗约1万人SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!《强化TCP/IP堆栈安全。

7.安装专业抗DDOS防火墙