麻烦帮忙推荐防御DDoS攻击的解决方案

1. 麻烦帮忙推荐防御DDoS攻击的解决方案

F5公司是业界领先的L4/L7交换机厂商，在不断完善对各类服务器应用的负载均衡的同时，也逐步在内核中引入安全防御的概念，并且通过F5特有的开放系统（提供i-Controller  构架下的API/SDK开发标准），联合业界著名的操作系统厂商、防火墙厂商、防病毒厂商、IDS/IPS厂商  、应用服务软件厂商，构筑起围绕服务器为核心的动态攻击防御系统。
    当大数据流DoS/DDoS攻击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服务器，通过EAV/ECV精确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态，直至有服务器空闲或TCP  timeout。
     与此同时，为进一步防止服务器遭受攻击过载，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时通知3DNS，这个中心可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后，服务器又会通知BIGIP和3DNS，此时它已恢复正常，可以提供服务。这时，系统又恢复原有的正常状态。
    对于DoS/DDoS攻击，F5对于常用的几种攻击手段，从内核级就予以屏蔽，具体实施如下：
    1．Synflood:
    该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN  ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。
    F5 的策略：
    F5 采用特有的SYN proxy功能，所有与虚拟服务器建立HTTP  SYN的请求均由F5代替服务器响应，F5并不将SYN请求发送到服务器。只有当用于响应了F5的ACK，并真正发送HTTP  GET请求时，F5才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和F5通讯，无法攻击到服务器。而F5  能够轻松支持高达2,000,000个会话的吞吐能力，能够应付绝大多数攻击。而如果攻击数量超过F5的能力，F5 的Reaper功能将自动启动保护系统自身.  
    2．Ping of Death  
     根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping  of Death攻击，该攻击会造成主机的宕机。
    F5 的策略：
     在F5上可以将虚拟服务器的ARP屏蔽，ICMP包系统根本不响应。其次，虚拟服务器的ICMP响应是由F5的管理进程提供响应，当管理进程繁忙时，系统会自动降低虚拟服务器的ICMP响应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同的进程，在F5上其内存和CPU使用时间是严格分离的，所以Ping  of Death丝毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。
    3．IP欺骗DoS攻击
    这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。  攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。
    F5 的策略：
    F5特有的SYN proxy功能，将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据，同时所有的SYN/ACK/SYN  ACK均不通服务器链接，只有当用户发送HTTP  GET请求时再与选定的服务器建立链接，所以RST只是拆除与F5建立额链接，并不影响合法用户访问服务器。
    4．带宽DoS攻击  
    如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DoS，威力巨大。
    F5 的策略：
     这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占满。所以如果发生该种攻击，首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。其次，采用F5的i-Control技术配合IDS、防火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击.
    BIG-IP采用动态安全控制架构（DSCA）来实施、加强和加速应用和Web服务的安全交付。它是第一款能够自动对不断变化的安全威胁做出响应、采取措施并加强防范的安全解决方案，筑起了一道协调统一的安全防线，同时还提高了网络中其它安全产品的性能。在基于F5  开放式平台iContol之上，结合F5在业界诸多地合作伙伴，使用F5的API/SDK开发工具，就可以实现L4/L7交换机与入侵检测IDS的互动。由IDS实时检测攻击，当发现有黑客攻击行为时，IDS通过调用iControl的API/SDK动态调整F5上的iRules策略，使得系统能够屏蔽攻击数据的同时还能让合法用户访问服务器。

2. 请问DDOS攻击有没有彻底解决的方法？

1．确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。 

2．确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。

3．确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统甚至是受防火墙保护的系统。

4．确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限。

5．禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据?

6．禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将.rhost和hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问！

7．限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

8．确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

9．在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以定要认真检查特权端口和非特权端口。

10．检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。 

11．利用DDoS设备提供商的设备。

遗憾的是，目前没有哪个网络可以免受DDoS攻击，但如果采取上述几项措施，能起到一定的预防作用
 
PS:这不是我的观点 应该是防不住

每小时换一次IP吧

3. DDOS几种常见攻击方式的原理及解决办法

DOS的表现形式 

　　DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 

　　如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一 

　　点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。 

　　相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

       当前主要有三种流行的DDOS攻击： 

　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na 

　　命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 

　　2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量 的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。 

　　3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。 

　　完全抵御住DDOS攻击是不可能的 

　　对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。 

　　以下几点是防御DDOS攻击几点: 

　　1、采用高性能的网络设备 

　　首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 

　　2、充足的网络带宽保证 

　　网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。 

　　但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。 

　　3、安装专业抗DDOS防火墙 

　　专业抗DDOS防火墙采用内核提前过滤技术、反向探测技术、指纹识别技术等多项专利技术来发现和提前过滤DDoS非法数据包，做到了智能抵御用户的DoS攻击。但也不能100％阻止对DDoS非法数据包准确检查。

4. 针对ddos攻击有什么比较好的办法？

被DDoS/CC攻击是一件非常烦的事情，网站排名稍微好一点就会遇到同行攻击，轻的网站运行缓慢，软件APP运行困难，重的网站直接打不开，服务器IP被封禁，严重影响了业务，造成不同程度的损失。早期的时候DDoS/CC防御成本是远比攻击成本高的，所以网上被攻击是非常常见的一种打击对手的手段。不过随着互联网的飞速发展，目前防御攻击成本已经非常便宜了，今天主机吧就来说说国内有哪些便宜的防御攻击的方法。

1 百度云加速

如果算上免费用户量的话，百度云加速无疑是国内最受欢迎的防御攻击产品，收费版价格更是国内最便宜的，10G防御专业版主机吧代理价只需1180一年，一个月不到100块。百度云加速不仅可以防御DDOS/CC攻击，同时还可以加速网站访问，拦截扫描，还帮网站推送百度搜索引擎，有利于SEO，所以是国内防御攻击首选，不过如果你的网站正在被攻击，那么必须得换IP再接入百度云加速，否则防御是无效的，同时百度云加速要求域名备案，正规内容，所以还是有很多网站无法接入百度云加速防御的。相关链接
2 高防IP

跟阿里云腾讯云一样，主机吧直接提供机房合作的高防IP服务，相对于阿里腾讯，主机吧提供的高防IP要便宜很多，价格适中，以联通高防IP为例，400G DDoS防御，支持更高级别的自义CC防御规则，50M独享带宽，只需要800元一月，防御效果非常好，而且24小时都有技术值班处理，对内容审核也没有百度云加速这么严格，只需要域名有备案，不是黄赌毒就行，接入前提还是需要把服务器IP更换一个，高防IP并不限于域名使用，像APP、游戏、软件之类的都适用高防IP，一样可以防御DDOS/CC攻击，所以高防IP使用得比较广泛。
3 360网站卫士收费版
360网站卫士跟百度云加速一样都是做免费起家，不过去年开始提供收费版了，据使用的用户反馈效果还不错，定价比百度贵些，但相对整体市场来说还是挺便宜的，不过目前为止360收费版还是限用户使用的，而且内容方面跟百度一样，审核得比较死，跟百度云加速一样，要求服务器换新IP再接入。
4 高防服务器

如果你的服务器没办法换新IP，那么你还是考虑下更换个服务器吧，因为往往换新服务器的成本远低于你直接在原空间商买高防服务便宜得多，以阿里云为例，不支持换IP，被攻击后都是推荐你购买他们家的高防IP，一个月费用高达6800元，还只是10G防御而以，相当不划算，所以你可以考虑换个高防服务器。

5. DDOS攻击好恶心啊有没有办法或者防火墙

高防CDN架构，云端防护，商城站和游戏的首选，云盾高防CDN,网站在头像
。
游戏行业一直竞争非常激烈，其中棋牌行业是竞争、攻击最复杂的一个“江湖”。
很多公司对这个行业不了解，贸然进行进入，对自身的系统、业务安全没有很好的认知，被攻击了就会束手无策，尤其是DDoS攻击是什么，怎么防护都不了解。
黑客的主要攻击方式：
1、DDoS 它使用UDP报文、TCP报文攻击游戏服务器的带宽，这一类攻击十分暴力，现象就是服务器带宽异常升高，攻击流量远远大于服务器能承受的最大带宽，导致服务器造成拥塞，正常玩家的请求到达不了服务器。
2、BotAttack（TCP协议类CC攻击） 这种攻击比DDoS更难防御，黑客通过TCP协议的漏洞，利用海量真实肉鸡向服务器发起TCP请求，正常服务器能接受的请求数在3000个／秒左右，黑客通过每秒十几万的速度向服务器发起TCP请求，导致服务器TCP队列满，CPU升高、内存过载，造成服务器宕机，会严重影响客户的业务，这种攻击的流量很小，在真实的业务流量中隐藏，难以发现又很难防御。
3、业务的模拟（深度业务模拟类CC攻击） 棋牌类的游戏通信协议比较简单，黑客进行协议破解几乎没什么难度，目前我们已经发现有黑客会针对棋牌客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击，这种流量相当于正常业务流量，比BotAttck模拟程度更高，防御难度更高！
4、其他针对性手段 除了传统的网络攻击，很多棋牌客户还被有针对性的攻击，例如：数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击，出现问题会直接影响业务的发展。 游戏公司如何判断自己被攻击呢？ 假设可以确实不是线路和硬件故障，连接服务器突然变得困难，在游戏中的用户掉线等现象，则很有可能是遭受了DDoS攻击。 目前，游戏行业的IT基础设施有两种部署模式：一是采用云计算或托管IDC模式，二是自拉网络专线。由于费用的考虑，绝大多数采用前者。 不管是前者还是后者接入，正常游戏用户可以自由的进入服务器娱乐。如果突然出现这几种现象，就可以判断是“被攻击”状态。
（1）主机的IN/OUT流量较平时有显著的增长。
（2）主机的CPU或者内存利用率出现无预期的暴涨。
（3）通过查看当前主机的连接状态，发现有很多半开连接，或者是很多外部IP地址，都与本机的服务端口建立几十个以上ESTABLISHED状态的连接，就是遭到了TCP多连接攻击。
（4）游戏客户端连接游戏服务器失败或登录过程非常缓慢。
（5）正在游戏的用户突然无法操作或者总是断线。 如何针对这些攻击做好防御呢？ 可以通过高防cdn进行防护。YUNDUN-CDN就是高防cdn的良性服务商。它的节点拥有极大的带宽，各节点承受流量能力很强，网络突发流量增加时能有效应对。YUNDUN-CDN在节点之间建立了智能冗余和动态加速机制，访问流量能实时分配到多个节点上，智能分流。当网站遭受ddos攻击时，加速系统会将攻击流量分散到多个节点，节点与站点服务器压力得到有效分担，网络黑客攻击难度变得很高，服务器管理人员拥有更多的应对时间，可以有效的预防黑客入侵，降低各种ddos攻击对网站带来的影响。YUNDUN-CDN可隐藏服务器源IP，可以有效提升源站服务器的安全系数。如果想通过高防cdn防御ddos攻击，YUNDUN-CDN一定可以帮助到您。

6. ddos攻击是怎样的？

网络上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击软件，它可以模拟内网真实机器的IP，对网 关设备进行恶意的TCP-SYN半连接攻击，从而使得整个内网中的PC都无法正常上网，很多深受其害的用户可谓苦不堪言。而目前网络产品市场上，很少有能成功识别该类攻击并实 施相关防御措施的网络设备。
该攻击软件与传统的DDOS攻击软件很不一样，普通的DDOS攻 击软件只是保证伪装的IP地址属于内网网段就开始发动攻击，针对此类攻击，一般具有安全功 能的网关设备(路由器、防火墙等)都可以防御住此类攻 击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同，它首先会判断攻击源所处的IP地址段，向内网广播该网段的ARP请 求报文，当真实IP地址接受到相关ARP请求报文后，会发送ARP的应 答报文，这样，该软件就能够知道，在该网段内的真实IP与MAC对应关系，从而在攻击的时候骗取到网关设备的信任。

    然后，SynDemo会根据这些真实的IP信息，模拟真实的http报 文发给网关设备。当网关设备接受到这些看似“正常”的报文后，就不会将这些“合法”报文丢弃，但是SynDemo会高密度的连续地发送这些报文，导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接“填满”，无法处理那些用于正常上网的数据包，使得内网的所有机器上网速度 越来越慢，最后导致整个内网的机器都无法正常上网。

7. 什么是DDOS攻击及怎么抵抗DDOS攻击？

一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。
对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：
1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存
，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，
硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。6、增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 TCP/IP 堆栈安全》。
7、安装专业抗DDOS防火墙
8、其他防御措施

8. 什么是DDOS攻击及如何抵抗DDOS攻击

DdoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者
不能完全的抵抗DDOS攻击，只能最大程度的减小它的威力。
关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
及时更新系统补丁

分布式拒绝服务攻击网络设置
网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。
1.防火墙
禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。
2.路由器
设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server