DDoS攻擊網絡上常見攻擊，可導致網站宕機、崩潰、內容被篡改，進一步造成用戶品牌、財產嚴重受損。ddos如何防御是大家都在關心的話題，系統管理員可以根據自身需求進行部署，以保障網站安全。

　　ddos如何防御

　　過濾不必要的服務和端口：可以使用 Inexpress、Express、Forwarding 等工具來過濾不必要的服務和端口，即在路由器上過濾假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以針對封包 Source IP 和 Routing Table 做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如 WWW 服務器那么只開放 80 而將其他所有端口關閉或在防火墻上做阻止策略。

　　異常流量的清洗過濾：通過 DDOS 硬件防火墻對異常流量的清洗過濾，通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御 800-927 萬個 syn 攻擊包。

　　分布式集群防御：這是目前網絡安全界防御大規模 DDOS 攻擊的最有效辦法。分布式集群防御的特點是在每個節點服務器配置多個 IP 地址（負載均衡），并且每個節點能承受不低于 10G 的 DDOS 攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先級設置自動切換另一個節點，并將攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

　　高防智能 DNS 解析：高智能 DNS 解析系統與 DDOS 防御系統的完美結合，為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法，智能根據用戶的上網路線將 DNS 解析請求解析到用戶所屬網絡的服務器。同時智能 DNS 解析系統還有宕機檢測功能，隨時可將癱瘓的服務器 IP 智能更換成正常服務器 IP，為企業的網絡保持一個永不宕機的服務狀態。

　　防ddos攻擊方案

　　方案一：自主防御

　　1）定期掃描漏洞，要確保程序軟件沒有任何漏洞，防止攻擊者入侵，及時打上補丁修復漏洞。

　　2）確保采用最新系統，并及時更新打上安全補丁。

　　3）過濾不必要的服務和端口，即過濾路由器上的假IP，只打開服務端口，例如WWW服務器只打開80個端口，關閉所有其他端口，或在防火墻上設置阻止它們。

　　4）檢查訪客來源，使用單播反向路徑轉發等方法，通過反向路由器查詢，檢查訪客IP地址是否為真，如果為假，則屏蔽。許多黑客經常使用假IP地址來迷惑用戶，很難找到它的來源，因此使用單播反向路徑轉發可以減少假IP地址的發生，有助于提高網絡安全性。

　　方案二：采用高防服務器

　　高防服務器主要是指獨立單個硬防防御應對DDOS攻擊和CC攻擊的主機，可以為單個客戶提供安全維護，能夠幫助網站拒絕服務攻擊，并且定時掃描現有的網絡主節點，查找可能存在的安全漏洞的主機。

　　方案三：采用高防IP

　　高防IP是針對互聯網在遭受大流量DDoS攻擊后，導致服務不可用的情況下的服務，其防御原理是用戶可通過配置高防IP，將攻擊流量引流到高防IP，從而保護真正的IP不被暴露，確保源站的穩定安全。

　　方案四：采用高防CDN

　　CDN防御力，全名是Content Delivery Network Defense，即內容分離數據流量防御力。基本原理就是說搭建在互聯網之中的內容派發互聯網，借助布署在各地的邊沿網絡主機，根據管理中心服務平臺的負載均衡、內容派發、生產調度等程序模塊，使客戶就近原則獲得需要內容。

　　方案五：配置Web應用程序防火墻

　　Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略，Web應用防火墻簡稱：WAF，基于云安全大數據能力，用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等常見攻擊，并過濾海量惡意CC攻擊，避免網站資產數據泄露，保障網站的安全與可用性。

　　攻擊者通常會利用惡意軟件將大量計算機或者網絡設備組成一個類似于“僵尸網絡”或“肉雞網絡”的大規模攻擊平臺，將攻擊請求發往目標主機或者服務器。ddos如何防御對于企業來說是非常重要的，畢竟企業在遇到ddos攻擊后會造成嚴重的損失。