互联网的发展就是一把双刃剑，在方便生活的同时攻击也是随处可见。在遭受DDoS攻击后，源站服务器可能无法提供服务导致用户无法访问您的业务。如何防御ddos攻击？虽然不可能完全阻止DDoS攻击的发生，但有一些有效的做法可以帮助你检测和停止正在进行的DDoS攻击。

　　如何防御ddos攻击？

　　DDoS攻击就是分布式拒绝服务攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，可使目标服务器进入瘫痪状态。简单点说，就是你家摆摊卖咸鸭蛋呢，我找一堆二流子围着你家的咸鸭蛋摊问东问西，就是不买东西，或者买了东西，又说咸鸭蛋不好得退货。让真正想买咸鸭蛋的人买不到，让你家正常的业务没法进行。

　　1、尽可能对系统加载最新补丁，并采取有效的合规性配置，降低漏洞利用风险；

　　2、采取合适的安全域划分，配置防火墙、入侵检测和防范系统，减缓攻击。

　　3、采用分布式组网、负载均衡、提升系统容量等可靠性措施，增强总体服务能力。通俗的说就是，我找保安帮我维持鸭蛋摊的秩序，长得就不像是好人，举止怪异的根本不让靠近，并且在鸭蛋摊前面画条线排队，每个人只能有半分钟的买鸭蛋的时间，并且多开几个窗口卖鸭蛋。

　　ddos攻击有哪些？

　　流量攻击

　　就像快递服务站 (服务器) 一样，服务站的门通道 (带宽) 是有限的，大量的垃圾包裹 (攻击包) 会突然来到快递服务站进行快递。服务站的门通道 (带宽) 立即被占用，导致正常的包裹 (正常的包) 无法发送到快递服务站，服务站也无法为正常的包裹提供相应的服务。

　　资源耗尽攻击

　　就像快递服务站 (服务器) 一样，服务站的包处理能力是有限的 (CPU、内存等处理能力)。大量的包 (攻击包) 导致快速服务站满负荷运行 (CPU、内存和其他满负荷)。结果是正常的包 (正常包) 到达服务站后，服务站由于工作负荷满，无法为正常的包提供相应的服务。

　　TCP 洪水攻击

　　我们知道 TCP 需要三次握手来建立连接，而这种攻击利用 TCP 协议的这个特性来发送大量伪造的 TCP 连接请求，第一个握手包 (SYN 包) 使用假冒的 IP 或 IP 段作为源地址发送大量的请求进行连接，被攻击的服务器响应第二个握手包 (SYN+ACK 包)，因为另一方是假 IP，所以另一方永远不会收到来自服务器的第二个握手包，也不会响应来自服务器的第三个握手包。导致被攻击的服务器保持大量 SYN_RECV 状态为 “半连接”，并在默认情况下重试响应第二个握手包 5 次，TCP 连接队列满、资源耗尽 (CPU 满或内存不足)，最终让正常的业务请求无法连接。

　　TCP 全连接攻击

　　攻击模式是指许多僵尸主机不断地与被攻击的服务器建立大量真实的 TCP 连接，直到服务器的内存等资源被消耗殆尽，导致拒绝服务。这种攻击的特点是连接是真实的，所以这种攻击可以绕过一般防火墙的保护来达到攻击的目的，随着 5 g 时代，物联网的发展，物联网的安全设备远低于个人电脑，和攻击者更有可能获得大量的 “肉鸡”, 相信僵尸主机的数量会更大。

　　反射性攻击

　　黑客的攻击模式依赖于发送被针对服务器攻击主机的大量的数据包，然后攻击主机被攻击服务器时会产生大量的反应，导致攻击服务器服务瘫痪，无法提供服务。黑客往往选择那些比请求包大得多的响应包来利用服务，从而能够以较小的流量换取较大的流量，获得几倍甚至几十倍的放大效果，从而达到四两拨千斤的目的。

　　作为企业要知道如何防御ddos攻击，防御DDOS是大家最关心的问题以及所考虑的问题。因为企业在遇到ddos攻击的时候必定会造成损失，所以需要做好相应的防护措施才能在最大程度上减少伤害。