到目前为止，要想完全从技术上做到事先防范DDoS攻击还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个很形象的比喻：DDoS就好像有1000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

（1）主机上的设置：关闭不必要的服务，限制同时打开的SYN[1]半连接数目，缩短SYN半连接的超时（Time Out）时间，及时更新系统补丁等。

（2）网络设备上的设置：可以在防火墙与路由器等网络设备上做配置，这两类设备是连接到外部网络的主要接口设备。

     防火墙：

*禁止对主机的非开放服务的访问；
*限制同时打开的SYN最大连接数；
*限制特定IP地址的访问；
*启用防火墙的防DDoS的属性；
*严格限制对外开放的服务器的向外访问。

     路由器：

*访问控制列表（ACL）过滤；
*设置SYN数据包流量速率；
*升级版本过低的IOS；
*为路由器建立日志服务器。

  （3）充足的网络带宽保证：网络带宽是决定抗攻击的能力重要因素之一，如果仅仅有10Mbps带宽的话，无论采取什么措施都很难对抗现在的SYN Flood攻击，如果你的业务是不能间断的，当前至少要选择100Mbps的共享带宽，最好的当然是1000Mbps的主干了。

  （4）把网站做成静态页面：网站尽可能地做成静态页面，不仅能大大提高抗攻击的能力，而且还给攻击入侵带来不少麻烦，至少到现在为止，关于HTML的溢出攻击还没出现。

  （5）增强操作系统的TCP/IP栈：Windows 2000和Windows 2003作为服务器操作系统，本身具备一定的抵抗DDoS攻击的能力，但在默认状态下没有开启，如果开启的话可抵挡约10000个SYN攻击包。

   （6）当你发现自己正在遭受DDoS攻击时，你应当启动你的应急策略，尽可能快地追踪攻击包，并且要及时联系有关应急组织，在他们的指导下分析受影响的系统，确定涉及的其他节点，从而采取相应的措施解决问题。