DDoS:分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

一、防DDoS攻擊方法

1.過濾不必要的服務和端口

使用inexpress、express、forwarding等工具來過濾不必要的端口，即在路由器過濾假ip，比如思科公司的思科forwarding可以針對封包source ip和routing table做比較，并加以過濾，只開放服務端口。www服務器只開放80端口，其他端口全部關閉或在防火墻上做阻止策略

2.異常流量的清洗過濾

通過DDoS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)劃過濾，數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內容定制過濾等頂尖技術能準確判斷外來流量是否正常，進一步將異常流量禁止過濾。單臺負載可以防御800-927萬個syn攻擊包

當發(fā)生DDoS攻擊時，網絡監(jiān)控系統(tǒng)會偵測到網絡流量的異常變化并發(fā)出報警，在系統(tǒng)自動檢測或人工判斷之后可以識別出被攻擊的虛擬機公網ip地址，這時，可調用系統(tǒng)的防DDoS攻擊功能接口，啟動對相關被攻擊ip流量清洗，流量清洗設備會立即接管對該ip地址的所有數(shù)據(jù)包，并將數(shù)據(jù)包清洗完，僅將正常的數(shù)據(jù)包轉發(fā)給隨后的網絡設備，如此便能保證整個網絡正常的流量通行，而將DDoS流量拒之門外，采用DDoS清洗能可以為企業(yè)用戶帶來諸多好處，其表現(xiàn)在不僅可以提高綜合防護能力，用戶能夠按需付費，可彈性擴展，而且能夠基于大數(shù)據(jù)分析來預測攻擊，同時能夠免費升級，對于企業(yè)用戶來說，則可以實現(xiàn)零運維、零改造

3.分布式集群防御

目前網絡上安全邊界防御大規(guī)模DDoS攻擊最有效的方法，分布式集群防御的特點是在每個節(jié)點服務器配置多個ip地址（負載均衡），并且每個節(jié)點能承受不低于10G的DDoS攻擊，如果一個節(jié)點受攻擊無法提供服務，系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另外一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源稱為癱瘓狀態(tài)，從更深度的安全防護角度去保障企業(yè)的業(yè)務運行

4.高智能DNS解析

高智能DNS解析系統(tǒng)與DDoS防御系統(tǒng)的完美結合，為企業(yè)提供對抗新興安全威脅的超級檢測功能，它顛覆了傳統(tǒng)的一個域名對應一個鏡像的做法，智能根據(jù)用戶的上網路線將DNS解析請求到用戶所屬網絡的服務器，同時智能DNS解析系統(tǒng)還有宕機檢測的功能，隨時可將癱瘓的服務器ip智能更換成正常服務器ip，為企業(yè)的網絡保存一個永久不宕機的服務狀態(tài)。