DDoS代表分布式拒绝服务。这是一种网络攻击，旨在使网站脱机或使其变慢。让访问者停止尝试使用它。通过用恶意流量压倒网站来实现这一点。ddos防护手段有什么呢？如果没有及时采取措施抵御ddos攻击就很容易遭到经济上的损失。

　　ddos防护手段有什么？

　　过滤不必要的服务和端口：可以使用 Inexpress、Express、Forwarding 等工具来过滤不必要的服务和端口，即在路由器上过滤假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

　　异常流量的清洗过滤：通过 DDOS 硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御 800-927 万个 syn 攻击包。

　　分布式集群防御：这是目前网络安全界防御大规模 DDOS 攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个 IP 地址（负载均衡），并且每个节点能承受不低于 10G 的 DDOS 攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

　　高防智能 DNS 解析：高智能 DNS 解析系统与 DDOS 防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将 DNS 解析请求解析到用户所属网络的服务器。同时智能 DNS 解析系统还有宕机检测功能，随时可将瘫痪的服务器 IP 智能更换成正常服务器 IP，为企业的网络保持一个永不宕机的服务状态。

　　ddos攻击常见类型

　　流量攻击

　　就像快递服务站 (服务器) 一样，服务站的门通道 (带宽) 是有限的，大量的垃圾包裹 (攻击包) 会突然来到快递服务站进行快递。服务站的门通道 (带宽) 立即被占用，导致正常的包裹 (正常的包) 无法发送到快递服务站，服务站也无法为正常的包裹提供相应的服务。

　　资源耗尽攻击

　　就像快递服务站 (服务器) 一样，服务站的包处理能力是有限的 (CPU、内存等处理能力)。大量的包 (攻击包) 导致快速服务站满负荷运行 (CPU、内存和其他满负荷)。结果是正常的包 (正常包) 到达服务站后，服务站由于工作负荷满，无法为正常的包提供相应的服务。

　　TCP 洪水攻击

　　我们知道 TCP 需要三次握手来建立连接，而这种攻击利用 TCP 协议的这个特性来发送大量伪造的 TCP 连接请求，第一个握手包 (SYN 包) 使用假冒的 IP 或 IP 段作为源地址发送大量的请求进行连接，被攻击的服务器响应第二个握手包 (SYN+ACK 包)，因为另一方是假 IP，所以另一方永远不会收到来自服务器的第二个握手包，也不会响应来自服务器的第三个握手包。导致被攻击的服务器保持大量 SYN_RECV 状态为 “半连接”，并在默认情况下重试响应第二个握手包 5 次，TCP 连接队列满、资源耗尽 (CPU 满或内存不足)，最终让正常的业务请求无法连接。

　　TCP 全连接攻击

　　攻击模式是指许多僵尸主机不断地与被攻击的服务器建立大量真实的 TCP 连接，直到服务器的内存等资源被消耗殆尽，导致拒绝服务。这种攻击的特点是连接是真实的，所以这种攻击可以绕过一般防火墙的保护来达到攻击的目的，随着 5 g 时代，物联网的发展，物联网的安全设备远低于个人电脑，和攻击者更有可能获得大量的 “肉鸡”, 相信僵尸主机的数量会更大。

　　反射性攻击

　　黑客的攻击模式依赖于发送被针对服务器攻击主机的大量的数据包，然后攻击主机被攻击服务器时会产生大量的反应，导致攻击服务器服务瘫痪，无法提供服务。黑客往往选择那些比请求包大得多的响应包来利用服务，从而能够以较小的流量换取较大的流量，获得几倍甚至几十倍的放大效果，从而达到四两拨千斤的目的。

　　ddos防护手段有什么，其实能够抵御ddos攻击的方式还是有很多的，随着技术不断发展在面对ddos攻击的时候我们也能够做出有效的防御措施。对于企业来说，提前做好相应的防护措施是非常重要的。