对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议，和大家分享！ 
1、采用高性能的网络设备 
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 
2、尽量避免NAT的使用 
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。 
3、充足的网络带宽保证 
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。 
4、升级主机服务器硬件 
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。 

5、把网站做成静态页面 
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。 
6、增强操作系统的TCP/IP栈 
Win2003作为服务器操作系统，是大多数用户至今喜欢用的系统，win03系统相对比较稳定，32位的一般都能满足，用户需求。冰盾DDOS防火墙在win03系统32位的系统上，开发设计的防DDOS及CC攻击方面效果较为明显，在网站并有退款承诺，冰盾DDOS防火墙，在市场上销售十一载，已有大量的用户认可见证，选择冰盾防火墙是您明智的选择！！
             

冰盾科技退款承诺书

（买前必看）

亲，您好：

   首 先谢谢您关注我家的冰盾！虽然亲您知道我们是注册资金百万的北京科技公司，虽然我们已经有十年以上的历史，虽然我们装机量达到了几十万台，虽然我们被称为 是迄今为止最好的软防，但是我们深深知道这个世界上没有一个产品是万能的，我们的防火墙也不例外，并不能解决一切问题，为了不给双方带来不必要的麻烦，容 我告诉您我们的冰盾能解决什么，不能解决什么，您再决定购买不迟。

1、冰盾运行的操作系统

当前版本的冰盾防火墙只能运行32位的Windows 2003操作系统之上，所以假如您的系统是Linux、Windows 2008、Windows 2012或者是64位的Windows，那么目前暂不支持。

解决方案：若可能且必要的话请重新安装成32位的Win2003系统。

后续方案：我们即将在近期推出支持所有32位和64位的Windows2003、2008、2012版本，购买现在的版本，届时可免费升级！

2、冰盾不支持超线程

当前版本的冰盾防火墙，暂不支持超线程。

解决方案：若可能且必要的话请暂时禁用CPU的超线程功能。

后续方案：我们即将在近期推出支持超线程的版本，届时可免费升级！

3、冰盾无法抵御大于用户带宽的流量攻击

   事 实是，不管是软件的还是硬件的，不管是贵的还是便宜的，任何防火墙都无法抵御大于用户带宽的流量攻击，比如：机房给您的实际带宽是30M，而攻击的流量是 50M，整个网路都被阻塞了，那么除了增加带宽外没有什么好的解决办法，当然，若是网站的话还可以考虑使用CDN来对付一下，但若是游戏、音乐、视频、聊 天等需要实时性强的网络服务就真的不太好解决了。

4、这么说冰盾没啥用了？

  亲， 不是的！冰盾是性价比很高的软防，一次性购买永久使用，我们的客户最长都用11年了哦！~ 京东商城、盛大网络、健力宝集团等都是我们的客户，而CDN是 需要长期付费的，只能保护网站，并且只对SYN洪水攻击有一定效果，对CC是防护不了的，硬件防火墙对CC的防护效果也是很差的，这是原理本身决定的，而 就当前而言，90%以上的攻击是CC类攻击，所以冰盾大多数时候都是在起着很好的防护作用，假如你机房的带宽是30M，假如你不安装冰盾的话，那么即便攻 击流量小于30M，只要稍微有点CC类的攻击，你的网站就会访问缓慢、卡顿、直至打不开，你的游戏服务器就会掉线、无法登陆，而装上冰盾就会立马见好，只 要你的服务器能够Ping通，也就是说带宽没有被占满，那么冰盾就会一直发挥防护作用，当然在攻击状态下，网站访问或者游戏登陆会稍慢些，但都在可忍受的 范围之内，若不能接受这点的请勿购买，所以说，冰盾并不能解决所有攻击，但能解决大多数攻击，若您不想忍受动不动网站就打不开或游戏服务器无法登录等问 题，那么买套冰盾备用是明智之选。

总结一下

   假如亲您的服务器是32位的Windows 2003操作系统，并且没有开启超线程，并且能接受当攻击流量大于您的实际带宽时冰盾无法起作用的现实的话，那么我们很欢迎您成为我们的新客户，并且无论遇到什么情况，我们的工程师都很乐于为您提供咨询服务，为您出主意、排忧解难，而且还是免费的哦！~

最后的100%退款承诺

   作为一家对客户负责的企业，我们承诺：无论什么情况，只要冰盾达不到您的要求，我们都承诺100%退款（仅限支付宝）！唯一前提是需要我们的工程师登录到贵服务器上卸载冰盾，敬请理解。

冰盾科技

2014年8月