DDoS攻击网络上常见攻击，可导致网站宕机、崩溃、内容被篡改，进一步造成用户品牌、财产严重受损。ddos如何防御是大家都在关心的话题，系统管理员可以根据自身需求进行部署，以保障网站安全。

　　ddos如何防御

　　过滤不必要的服务和端口：可以使用 Inexpress、Express、Forwarding 等工具来过滤不必要的服务和端口，即在路由器上过滤假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

　　异常流量的清洗过滤：通过 DDOS 硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御 800-927 万个 syn 攻击包。

　　分布式集群防御：这是目前网络安全界防御大规模 DDOS 攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个 IP 地址（负载均衡），并且每个节点能承受不低于 10G 的 DDOS 攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

　　高防智能 DNS 解析：高智能 DNS 解析系统与 DDOS 防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将 DNS 解析请求解析到用户所属网络的服务器。同时智能 DNS 解析系统还有宕机检测功能，随时可将瘫痪的服务器 IP 智能更换成正常服务器 IP，为企业的网络保持一个永不宕机的服务状态。

　　防ddos攻击方案

　　方案一：自主防御

　　1）定期扫描漏洞，要确保程序软件没有任何漏洞，防止攻击者入侵，及时打上补丁修复漏洞。

　　2）确保采用最新系统，并及时更新打上安全补丁。

　　3）过滤不必要的服务和端口，即过滤路由器上的假IP，只打开服务端口，例如WWW服务器只打开80个端口，关闭所有其他端口，或在防火墙上设置阻止它们。

　　4）检查访客来源，使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源，因此使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

　　方案二：采用高防服务器

　　高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击的主机，可以为单个客户提供安全维护，能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞的主机。

　　方案三：采用高防IP

　　高防IP是针对互联网在遭受大流量DDoS攻击后，导致服务不可用的情况下的服务，其防御原理是用户可通过配置高防IP，将攻击流量引流到高防IP，从而保护真正的IP不被暴露，确保源站的稳定安全。

　　方案四：采用高防CDN

　　CDN防御力，全名是Content Delivery Network Defense，即內容分离数据流量防御力。基本原理就是说搭建在互联网之中的內容派发互联网，借助布署在各地的边沿网络主机，根据管理中心服务平台的负载均衡、內容派发、生产调度等程序模块，使客户就近原则获得需要內容。

　　方案五：配置Web应用程序防火墙

　　Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略，Web应用防火墙简称：WAF，基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等常见攻击，并过滤海量恶意CC攻击，避免网站资产数据泄露，保障网站的安全与可用性。

　　攻击者通常会利用恶意软件将大量计算机或者网络设备组成一个类似于“僵尸网络”或“肉鸡网络”的大规模攻击平台，将攻击请求发往目标主机或者服务器。ddos如何防御对于企业来说是非常重要的，毕竟企业在遇到ddos攻击后会造成严重的损失。