遭受DDoS攻擊的情形讓人很尷尬，如果我們有好的DDoS防御方法，很多問題都會迎刃而解。讓我們看看在DDoS防御中，我們有哪些常用有效的方法來做好。

十一種抵抗ddos攻擊的方法：

1、采用高性能網(wǎng)絡設備

首先要保證網(wǎng)絡設備不能成為瓶頸，所以在選擇路由器、交換機、硬件防火墻等設備時，要盡量選擇知名度高、口碑好的產(chǎn)品。如果與網(wǎng)絡提供商有特殊關系或協(xié)議，那就更好了。當大量的攻擊發(fā)生時，要求他們限制網(wǎng)絡節(jié)點的流量以抵御各種DDoS攻擊是非常有效的。

2、盡量避免使用NAT

無論是路由器還是硬件防護墻設備，都要盡量避免使用網(wǎng)絡地址轉(zhuǎn)換NAT的使用，因為使用這種技術會大大降低網(wǎng)絡通信容量。其實原因很簡單，因為NAT需要來回轉(zhuǎn)換地址，而且在轉(zhuǎn)換過程中需要計算網(wǎng)絡包的校驗和，所以浪費了很多CPU時間，但是NAT有時必須使用，那就沒有好辦法了。

3、足夠的網(wǎng)絡帶寬

網(wǎng)絡帶寬直接決定了網(wǎng)絡抵抗攻擊的能力。如果只有10m帶寬，無論采取什么措施，都很難抵御synflood攻擊。目前，至少應選擇100m共享帶寬，最好掛在1000m的主干上了。但是需要注意的是，主機上的網(wǎng)卡是1000m，這并不意味著它的網(wǎng)絡帶寬是千兆。如果連接到100m交換機，其實際帶寬將不超過100m，如果連接到100m帶寬，并不意味著它將具有100m帶寬，因為網(wǎng)絡服務提供商可能會將交換機上的實際帶寬限制為10m。這一點必須明確。

4、升級主機服務器硬件

在保證網(wǎng)絡帶寬的前提下，請盡量完善硬件配置。要有效抵御每秒10萬個syn攻擊包，服務器配置至少應該是：P4 2.4g/ddr512m/scsi-hd，關鍵作用是CPU和內(nèi)存，如果有智強雙CPU，使用它，內(nèi)存一定要選擇DDR高速內(nèi)存，硬盤應該盡量選擇scsi，不要只貪ide價格不貴，數(shù)量足夠便宜，否則會付出很高的性能價格，并且網(wǎng)卡必須選擇3com或Intel等知名品牌，如果Realtek仍然在您的PC上用于自助服務。

5、使網(wǎng)站靜態(tài)或偽靜態(tài)

大量事實證明，使網(wǎng)站盡可能的靜態(tài)化，不僅可以大大提高網(wǎng)站的抗攻擊能力，而且給黑客帶來很多麻煩。至少到目前為止，HTML的溢出還沒有出現(xiàn)�？匆豢�!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站以靜態(tài)頁面為主。如果不需要調(diào)用動態(tài)腳本，可以把它放到一個單獨的主機上，避免遭受攻擊時連累主服務器，當然可以適當放一些不做數(shù)據(jù)庫調(diào)用的腳本或者可以，另外，最好需要在腳本中調(diào)用數(shù)據(jù)庫拒絕使用代理訪問，因為經(jīng)驗表明，使用代理訪問是可以的80%的網(wǎng)站屬于惡意行為。

6、增強操作系統(tǒng)的TCP/IP協(xié)議棧

Windows操作系統(tǒng)本身具有一定的抵御DDoS攻擊的能力，但在默認情況下并不開啟。如果打開它，它可以抵抗大約10000個syn攻擊包。如果不打開它，它只能抵抗數(shù)百個syn攻擊包。如何打開它?自己去看微軟的文章吧!

7、安裝專業(yè)DDoS防火墻

8、攔截HTTP請求

如果惡意請求具有特征，那么很容易處理：直接攔截即可。

HTTP請求有兩個特征：IP地址和用戶代理字段。例如，如果惡意請求是從IP段發(fā)送的，只需阻止該IP段�；蛘�，如果他們的用戶代理字段具有特征(包括特定單詞)，則會截獲具有該單詞的請求。

9、備份網(wǎng)站

你需要有一個備份網(wǎng)站，或至少一個臨時主頁。如果生產(chǎn)服務器脫機，它可以立即切換到備份網(wǎng)站，因此沒有出路。

備份網(wǎng)站不一定是全功能的，如果你能做所有的靜態(tài)瀏覽，就可以滿足你的需要。至少，它應該能夠顯示一個公告，告訴用戶網(wǎng)站有問題，他們正在盡力修復它。建議將此類臨時主頁放置在Github Pages或netlife中。他們有很大的帶寬，可以應付攻擊。它們還支持域名綁定，還能從源碼自動構(gòu)建。

10、部署CDN

CDN是指將一個網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個服務器上，用戶可以就近訪問以提高速度。因此，CDN也是一種帶寬擴展的方法，可以用來防御DDoS攻擊。

網(wǎng)站內(nèi)容存儲在源服務器中，CDN是內(nèi)容緩存。用戶只能訪問CDN。如果內(nèi)容不在CDN上，CDN將向源服務器發(fā)送請求。這樣，只要CDN足夠大，就可以抵御很多攻擊。但是，這種方法有一個前提，站點的大部分內(nèi)容必須是靜態(tài)緩存。對于基于動態(tài)內(nèi)容的網(wǎng)站(如論壇)，我們需要考慮其他方法來最小化用戶對動態(tài)數(shù)據(jù)的請求。

在各大云服務提供商提供的IP高防的背后，也是這樣：網(wǎng)站域名指向IP高防，IP高防提供緩沖層，清理流量，緩存源服務器的內(nèi)容。

這里有一個關鍵點。一旦你在CDN上，不要透露源服務器的IP地址。否則，攻擊者可以繞過CDN直接攻擊源服務器。以前所有的努力都是徒勞的。搜索“繞開CDN獲得真實IP地址”，你就會知道國內(nèi)的黑產(chǎn)業(yè)有多猖獗。

11、其他防御措施

以上針對DDoS的建議適用于擁有自己主機的絕大多數(shù)用戶。但是，如果上述措施不能解決DDoS問題，則會帶來一些麻煩�？赡苄枰�更多的投資，比如增加服務器數(shù)量，采用DNS循環(huán)或負載平衡技術，甚至購買第7層交換機設備，這樣抵御DDoS攻擊的能力就可以翻一番，因為深度足夠了。