DDoS攻击，又叫分布式拒绝服务攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

防御DDOS是一个系统工程，攻击花样多，防御的成本高瓶颈多，防御起来即被动又无奈。DDOS的 特点是分布式，针对带宽和服务攻击，也就是四层流量攻击和七层应用攻击，相应的防御瓶颈四层在带宽，七层的多在架构的吞吐量。对于七层的应用攻击，我们还 是可以做一些配置来防御的，例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模块来防御。 ngx_http_limit_conn_module 可以限制单个IP的连接数，ngx_http_limit_req_module 可以限制单个IP每秒请求数，通过限制连接数和请求数能相对有效的防御CC攻击。

如果遭遇DDOS攻击该如何应对，或者如何预防？

1、大数据智能分析

黑客为了构造大量的数据流，往往需要通过特定的工具来构造请求数据，这些数据包不具有正常用户的一些行为和特征。为了对抗这种攻击，可以基于对海量数据进行分析，进而对合法用户进行模型化，并利用这些指纹特征，如：Http模型特征、数据来源、请求源等，有效地对请求源进行白名单过滤，从而实现对DDoS流量的精确清洗。

2、使用高防服务器

这个可能是比较简便的方式，一般现在IDC服务商都提供高防服务器来帮助企业抵御各式各样的流量攻击，它的原理也是非常简单，就是给服务器增加了一个防护层，面对攻击的时候能够抵挡住攻击。一般来说，高防服务器都至少能够抵挡五十G以上的攻击，并且还能定期扫描节点，是非常好的防护手段。

3、资源隔离

资源隔离可以看作是用户服务的一堵防护盾，这套防护系统拥有无比强大的数据和流量处理能力，为用户过滤异常的流量和请求。如：针对Syn Flood，防护盾会响应Syn Cookie或Syn Reset认证，通过对数据源的认证，过滤伪造源数据包或发功攻击的攻击，保护服务端不受恶意连接的侵蚀。资源隔离系统主要针对ISO模型的第三层和第四层进行防护。

DDoS防御需要选择专业安全服务商

防御吧已为超过90万的网站提供了安全支持，过程中累计了海量的DDoS防御经验。在超4T防护能力的加持下，还配合有7*24小时的专家服务，海外CN2专线，以及全业务支持等能力，可以根据不同业务的特点，以不同的安全策略，努力帮助企业用户做到不再惧怕DDoS攻击。