DDoS:分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

一、防DDoS攻擊方法

1.過濾不必要的服務和端口

使用inexpress、express、forwarding等工具來過濾不必要的端口，即在路由器過濾假ip，比如思科公司的思科forwarding可以針對封包source ip和routing table做比較，并加以過濾，只開放服務端口。www服務器只開放80端口，其他端口全部關閉或在防火墻上做阻止策略

2.異常流量的清洗過濾

通過DDoS硬件防火墻對異常流量的清洗過濾，通過數據包的規劃過濾，數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來流量是否正常，進一步將異常流量禁止過濾。單臺負載可以防御800-927萬個syn攻擊包

當發生DDoS攻擊時，網絡監控系統會偵測到網絡流量的異常變化并發出報警，在系統自動檢測或人工判斷之后可以識別出被攻擊的虛擬機公網ip地址，這時，可調用系統的防DDoS攻擊功能接口，啟動對相關被攻擊ip流量清洗，流量清洗設備會立即接管對該ip地址的所有數據包，并將數據包清洗完，僅將正常的數據包轉發給隨后的網絡設備，如此便能保證整個網絡正常的流量通行，而將DDoS流量拒之門外，采用DDoS清洗能可以為企業用戶帶來諸多好處，其表現在不僅可以提高綜合防護能力，用戶能夠按需付費，可彈性擴展，而且能夠基于大數據分析來預測攻擊，同時能夠免費升級，對于企業用戶來說，則可以實現零運維、零改造

3.分布式集群防御

目前網絡上安全邊界防御大規模DDoS攻擊最有效的方法，分布式集群防御的特點是在每個節點服務器配置多個ip地址（負載均衡），并且每個節點能承受不低于10G的DDoS攻擊，如果一個節點受攻擊無法提供服務，系統將會根據優先級設置自動切換另外一個節點，并將攻擊者的數據包全部返回發送點，使攻擊源稱為癱瘓狀態，從更深度的安全防護角度去保障企業的業務運行

4.高智能DNS解析

高智能DNS解析系統與DDoS防御系統的完美結合，為企業提供對抗新興安全威脅的超級檢測功能，它顛覆了傳統的一個域名對應一個鏡像的做法，智能根據用戶的上網路線將DNS解析請求到用戶所屬網絡的服務器，同時智能DNS解析系統還有宕機檢測的功能，隨時可將癱瘓的服務器ip智能更換成正常服務器ip，為企業的網絡保存一個永久不宕機的服務狀態。