對於中小企業來說，我覺得防禦DDOS最好的辦法還是使用一些成熟的雲伺服器及其提供的DDOS攻擊服務，如阿里雲的高防IP。使用者可透過配置高防IP，在遭受到DDOS攻擊時將攻擊流量引流到高防IP，確保源站的穩定可靠。

對中小企業來說DDOS難防禦的主要原因有：

DDOS流量大，源站頻寬成本高、伺服器負載難以承受進而造成崩潰甚至宕機；

難以區分真實流量和虛假流量，無法有效做流量清洗；

可預見性差，不能及時發現並針對性作出快速處理；

防禦手段落後，不能有效減弱DDOS帶來的影響或者成本太高（如防火牆、透過CDN做負載均衡）；

現在的幾大雲服務基本都有針對DDOS的防禦服務，我們拿阿里雲的舉例

從上圖可以看到阿里雲提供的DDOS高防IP有如下優勢：

有海量的頻寬容量，這是中小企業無法自己做到的；

能自動檢測和匹配預先設定好的攻擊策略進而能在第一時間內作出有效的防護；

源站IP是被隱藏的，這可以保證我們的源站伺服器不受DDOS影響；

阿里雲本身作為一家經常承受海量DDOS的企業，其在DDOS防禦領域的沉澱想必是值得我們去信任的。

這個問題得分兩個場景來看，即中小企業到底是使用公有云，還是使用私有云（或者自建伺服器），不同的場景解決方案不一樣

首先解釋一下什麼叫做DDOS。DDOS又叫做分散式拒絕服務攻擊，簡單的解釋一下就是網際網路有很多肉雞同時向你的伺服器發動攻擊，消耗伺服器的有限資源，所以拒絕服務攻擊實際上是對你伺服器的資源的一個消耗性攻擊

舉一個典型的例子，就是最常見的基於TCP的拒絕服務攻擊。

假設你公司的伺服器對外提供WEB服務，WEB是基於80埠的TCP服務，而一臺伺服器所支援的TCP的連線效能是有限的，例如可以同時支援10萬個TCP連線

這時，攻擊者從網際網路控制1000臺主機，每臺主機向你發起100個TCP的80埠連線請求，然後不再響應伺服器的迴應，這時就會出現一個很奇怪的狀態：你們公司伺服器的10萬個連線都被用了，但是這些都是沒有後繼過程的虛假連線。此時其他正常使用者想看你們公司的網頁，就會發現看不了，因為沒有TCP資源了，這個就是拒絕服務攻擊

如果你使用公有云，那麼你可用選擇公有云上的服務，例如阿里雲上就提供了對雲伺服器的安全保護功能。如果使用阿里雲，你可用先評估你網站的安全風險，進行漏洞測試，然後你可用購買雲防火牆來保護你的網站

如果是企業自建的私有云或者僅僅是企業的單獨的伺服器需要保護，那就得買專門的Anti-DDoS防火牆。目前華為、山石、邁普、H3C都有這種防火牆裝置，效能從百兆到萬兆都有，價格也不貴。防止DDOS攻擊是很成熟的技術，所有防火牆的標配