DDoS代表分布式拒絕服務。這是一種網絡攻擊，旨在使網站脫機或使其變慢。讓訪問者停止嘗試使用它。通過用惡意流量壓倒網站來實現這一點。ddos防護手段有什么呢？如果沒有及時采取措施抵御ddos攻擊就很容易遭到經濟上的損失。

　　ddos防護手段有什么？

　　過濾不必要的服務和端口：可以使用 Inexpress、Express、Forwarding 等工具來過濾不必要的服務和端口，即在路由器上過濾假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以針對封包 Source IP 和 Routing Table 做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如 WWW 服務器那么只開放 80 而將其他所有端口關閉或在防火墻上做阻止策略。

　　異常流量的清洗過濾：通過 DDOS 硬件防火墻對異常流量的清洗過濾，通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御 800-927 萬個 syn 攻擊包。

　　分布式集群防御：這是目前網絡安全界防御大規模 DDOS 攻擊的最有效辦法。分布式集群防御的特點是在每個節點服務器配置多個 IP 地址（負載均衡），并且每個節點能承受不低于 10G 的 DDOS 攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先級設置自動切換另一個節點，并將攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

　　高防智能 DNS 解析：高智能 DNS 解析系統與 DDOS 防御系統的完美結合，為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法，智能根據用戶的上網路線將 DNS 解析請求解析到用戶所屬網絡的服務器。同時智能 DNS 解析系統還有宕機檢測功能，隨時可將癱瘓的服務器 IP 智能更換成正常服務器 IP，為企業的網絡保持一個永不宕機的服務狀態。

　　ddos攻擊常見類型

　　流量攻擊

　　就像快遞服務站 (服務器) 一樣，服務站的門通道 (帶寬) 是有限的，大量的垃圾包裹 (攻擊包) 會突然來到快遞服務站進行快遞。服務站的門通道 (帶寬) 立即被占用，導致正常的包裹 (正常的包) 無法發送到快遞服務站，服務站也無法為正常的包裹提供相應的服務。

　　資源耗盡攻擊

　　就像快遞服務站 (服務器) 一樣，服務站的包處理能力是有限的 (CPU、內存等處理能力)。大量的包 (攻擊包) 導致快速服務站滿負荷運行 (CPU、內存和其他滿負荷)。結果是正常的包 (正常包) 到達服務站后，服務站由于工作負荷滿，無法為正常的包提供相應的服務。

　　TCP 洪水攻擊

　　我們知道 TCP 需要三次握手來建立連接，而這種攻擊利用 TCP 協議的這個特性來發送大量偽造的 TCP 連接請求，第一個握手包 (SYN 包) 使用假冒的 IP 或 IP 段作為源地址發送大量的請求進行連接，被攻擊的服務器響應第二個握手包 (SYN+ACK 包)，因為另一方是假 IP，所以另一方永遠不會收到來自服務器的第二個握手包，也不會響應來自服務器的第三個握手包。導致被攻擊的服務器保持大量 SYN_RECV 狀態為 “半連接”，并在默認情況下重試響應第二個握手包 5 次，TCP 連接隊列滿、資源耗盡 (CPU 滿或內存不足)，最終讓正常的業務請求無法連接。

　　TCP 全連接攻擊

　　攻擊模式是指許多僵尸主機不斷地與被攻擊的服務器建立大量真實的 TCP 連接，直到服務器的內存等資源被消耗殆盡，導致拒絕服務。這種攻擊的特點是連接是真實的，所以這種攻擊可以繞過一般防火墻的保護來達到攻擊的目的，隨著 5 g 時代，物聯網的發展，物聯網的安全設備遠低于個人電腦，和攻擊者更有可能獲得大量的 “肉雞”, 相信僵尸主機的數量會更大。

　　反射性攻擊

　　黑客的攻擊模式依賴于發送被針對服務器攻擊主機的大量的數據包，然后攻擊主機被攻擊服務器時會產生大量的反應，導致攻擊服務器服務癱瘓，無法提供服務。黑客往往選擇那些比請求包大得多的響應包來利用服務，從而能夠以較小的流量換取較大的流量，獲得幾倍甚至幾十倍的放大效果，從而達到四兩撥千斤的目的。

　　ddos防護手段有什么，其實能夠抵御ddos攻擊的方式還是有很多的，隨著技術不斷發展在面對ddos攻擊的時候我們也能夠做出有效的防御措施。對于企業來說，提前做好相應的防護措施是非常重要的。