1、採用高效能的網路裝置
首先要保證網路裝置不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等裝置的時候要
儘量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好
了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻
擊是非常有效的。

2、儘量避免NAT的使用
無論是路由器還是硬體防護牆裝置要儘量避免採用網路地址轉換NAT的使用，因為採用此
技術會較大降低網路通訊能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過
程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用
NAT，那就沒有好辦法了。

3、充足的網路頻寬保證
網路頻寬直接決定了能抗受攻擊的能力，假若僅僅有10M頻寬的話，無論採取什麼措施都
很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享頻寬，最好的當然是掛在
1000M的主幹上了。但需要注意的是，主機上的網絡卡是1000M的並不意味著它的網路頻寬
就是千兆的，若把它接在100M的交換機上，它的實際頻寬不會超過100M，再就是接在100M
的頻寬上也不等於就有了百兆的頻寬，因為網路服務商很可能會在交換機上限制實際頻寬為
10M，這點一定要搞清楚。

4、升級主機伺服器硬體
在有網路頻寬保證的前提下，請儘量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，
伺服器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和記憶體，
若有志強雙CPU的話就用它吧，記憶體一定要選擇DDR的高速記憶體，硬碟要儘量選擇SCSI的，
別隻貪IDE價格不貴量還足的便宜，否則會付出高昂的效能代價，再就是網絡卡一定要選用
3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網站做成靜態頁面
大量事實證明，把網站儘可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給駭客入
侵帶來不少麻煩，至少到現在為止關於HTML的溢位還沒出現，看看吧！新浪、搜狐、網易
等入口網站主要都是靜態頁面，若你非需要動態指令碼呼叫，那就把它弄到另外一臺單獨主機
去，免的遭受攻擊時連累主伺服器，當然，適當放一些不做資料庫呼叫指令碼還是可以的，此
外，最好在需要呼叫資料庫的指令碼中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網
站的80%屬於惡意行為。

6、增強作業系統的TCP/IP棧
Win2000和Win2003作為伺服器作業系統，本身就具備一定的抵抗DDOS攻擊的能力，只是
預設狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能
抵禦數百個，具體怎麼開啟，自己去看微軟的文章吧！《強化TCP/IP堆疊安全》。
也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去做吧！《SYN
Cookies》。

7、安裝專業抗DDOS防火牆

8、其他防禦措施
以上幾條對抗DDOS建議，適合絕大多數擁有自己主機的使用者，但假如採取以上措施後仍然
不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加伺服器數量並採用DNS輪
巡或負載均衡技術，甚至需要購買七層交換機裝置，從而使得抗DDOS攻擊能力成倍提高，
只要投資足夠深入。