要应对DDOS攻击那么对它的了解是必不可少的，DDOS又称为分布式拒绝服务，攻击通过控制散布在网络中的多台机器，形成数量众多的攻击源，同时像受害主机发动攻击，使得受害主机带宽、CPU、缓冲区等资源迅速耗尽，使得机器必须花费大量时间去处理这些数据，使得受害主机不能正常服务，轻则影响用户体验，重则带来严重的经济损失。

DDOS攻击通常由一些特定的攻击程序产生，对一目标同时进行打击，但在攻击的起始时间、持续时间、间隔时间、攻击类型和打击强度等特征上都会有一些相似性。

以下YOU 几种应对DDOS的措施

1、—限制连接数

目前市场上的安全产品，包括防火墙、入侵防御、DDOS防御等产品主要采用限制服务器主机连接数手段防御DDOS攻击，如关冲剑一般，看似拙滞古朴，实则为招数之基本。使用安全产品限制受保护主机的连接数，即每秒访问数量，可以确保受保护主机在网络层处理上不超过负荷(不含CC攻击)，虽然用户访问时断时续，但可以保证受保护主机始终有能力处理数据报文。而使用安全产品限制客户端发起的连接数，可以有效降低傀儡机的攻击效果，即发起同样规模的攻击则需要更多的傀儡机。

2、— UDP Flood防御技术

UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。一般最简单的方法就是不对外开放UDP服务。

如果必须开放UDP服务，则可以根据该服务业务UDP最大包长设置UDP最大包大小以过滤异常流量。还有一种办法就是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接，然后才能使用UDP通讯。

3、——Syn Flood防御技术

syn cookie/syn proxy类防护技术：这种技术对所有的syn包均主动回应，探测发起syn包的源IP地址是否真实存在，如果该IP地址真实存在，则该IP会回应防护设备的探测包，从而建立TCP连接。大多数的国内外抗DDOS产品均采用此类技术。

Safereset技术：此技术对所有的syn包均主动回应，探测包特意构造错误的字段，真实存在的IP地址会发送rst包给防护设备，然后发起第2次连接，从而建立TCP连接。部分国外产品采用了这样的防护算法。

syn重传技术：该技术利用了TCP/IP协议的重传特性，来自某个源IP的第一个syn包到达时被直接丢弃并记录状态，在该源IP的第2个syn包到达时进行验证，然后放行。

4、— CC防御技术

对是否HTTP Get的判断，要统计到达每个服务器的每秒钟的GET请求数，如果远远超过正常值，就要对HTTP协议解码，找出HTTP Get及其参数(例如URL等)。然后判断某个GET 请求是来自代理服务器还是恶意请求，并回应一个带Key的响应要求，请求发起端作出相应的回馈。如果发起端不响应则说明是利用工具发起的请求，这样HTTP Get请求就无法到达服务器，达到防护的效果。

5、— 采用高防服务器

如果上述几种方法都无法对攻击造成很好的过滤效果，那么建议使用宏讯云(http://idc699.com)的高防服务器，宏讯云的防火墙能很好地防御各种类型的攻击

(1)网络层攻击防御：SYN Flood、ACK Flood、UDPFlood、ICMP flood，Rstflood等攻击。

(2)Web应用DDoS攻击防护：过滤HTTP Getflood，HTTP Post flood，高频攻击等攻击，支持HTTP特征过滤、URI过滤、host过滤。

(3)畸形报文过滤：过滤frag flood，smurf，streamflood，land flood攻击

总结：随着互联网的高速发展，DDOS攻击的成本只会越来越低，遭受到DDOS的可能性只会越来越高，而且DDOS带来的危害是无法估量的，没有充分的资源准备、足够的应急演练，丰富的处理经验，DDOS将是互联网企业的噩梦。