談及DDoS防禦，先來說明下什麼是DDoS攻擊。

簡單來說，就是攻擊者藉助於公網，將數量極其龐大的計算機裝置集合起來作為攻擊平臺，對一個或者多個目標發起攻擊，以達到癱瘓目標伺服器的目的。

瞭解了DDoS的原理，那麼就來淺談下如何防禦（本人不是專業應對網路攻擊的人員，只是從事it行業，平時碰到過一次近似ddos的場景，所以只能說“淺談”一下，筆者寫過一篇關於ddos的文章，裡面涉及了ddos的常見攻擊方式，想要了解的可以去翻閱，這裡不再詳談），下面進入正題。

1、經濟條件允許的情況下，首選高效能網路伺服器及專業防禦平臺，畢竟是專業性質的應對方案，比起我們自行考慮要安全、周全的多，當然毋庸置疑，價格肯定很昂貴了，中小型企業估計要望而卻步；

2、別人攻擊你的伺服器，必然需要知道你的ip、dns之類的資訊，比如，我們既然對外暴露自己的網站，那麼可以嘗試隱藏自身伺服器的ip和變更dns，現在市面上還是有諸如百度、360之類的專業做安全防禦的公司，他們會提供一些產品以達到上訴目的，當然，比起第一個方案確實要經濟很多，也有一定呢防禦效果；

3、我們自身可以做的事，比如監控到某些個異常ip一直高頻訪問，那麼直接進行黑名單控制舉行拒絕流量，同時我們的網站儘量靜態化，越少的後端請求，被攻擊的機率也就越低了；

4、另外，還看到過專業公司的一些解決方案，比如採用旁路部署等等，也有將防禦提升到運營商層面的，在上游進行處理。

總而言之，我們既然處在網際網路大環境下，就不可避免的可能會收到攻擊威脅，網路中沒有絕對的安全，只有儘可能的更安全，我們要做的是瞭解攻擊者的原理和手段，從而採取相應的有效的措施，這才是上上之選。

首先要保證網路出口裝置的足夠強壯，不成為頻寬上的瓶頸。其次資料中心出口部署鏈路負載均衡裝置，保證當某條鏈路上的IP被flood頻寬耗盡時，仍有其他鏈路可以對外提供服務。其次使用伺服器負載裝置釋出虛擬應用，實現伺服器負載均衡，保證不會因為某個伺服器被攻擊後資源耗盡宕機影響業務，第三啟用負載均衡的連線複用功能避免遭受TCP全連線攻擊時導致伺服器資源耗盡的情況。第三針對script指令碼攻擊的特徵部署具有反向代理功能的WAF裝置，對於外部非信任指令碼執行拒絕服務，並同時制訂單一ip連線數限制，防火牆設定儘量減小長連線保持時間。

還有就是可以租用基於CDN的雲端DDOS服務，隱藏真實服務IP規避無效流量。

儘量將前端WEB服務靜態化，中介軟體伺服器和資料庫伺服器單獨部署，這樣可以降低資料庫伺服器資源大量耗用的風險，建議單一業務伺服器建立安全域，限定伺服器見的訪問策略，防止資料中心內部其他主機的非法訪問，如果是虛擬化平臺這點很方便透過NSX或分散式防火牆來實現。

最後運維團隊建議透過各種現在的運維軟硬體產品繪製各個對外業務的日常基線，當有異常流量時能有參照物預警。

個人觀點，有同行可以探討：）