在互联网高度发展的今天，互联网公司正面临着十分激烈的市场竞争，不仅要承担比金子还贵的流量费用，还要面对来自技术、产品、品牌、营销，和人才等多方面的竞争压力，公司要在市场中突围而出变得愈发艰难。

因此，一旦做成一个网站或APP项目，互联网公司无不将其视为珍宝，十分珍惜。但木秀于林，风必摧之。脱颖而出自然会受到高度关注，其中不乏黑产和竞争对手的目光。为了有利可图，黑产有可能对你公司的网站或者APP发起DDoS攻击，向你勒索赎金，从中牟利；竞争对手为了保持竞争优势，有可能向你发起恶意DDoS攻击，企图将你打垮，吞噬你的市场份额，那么怎么做好DDOS防御呢？

一、DDoS 常见攻击类型：

ICMP 泛洪：该攻击通过向目标 IP 发送大量 ICMP 包，占用带宽，从而导致合法报文无法达到目的地，达到攻击目的。

Smurf 攻击：攻击者先使用受害主机的地址，向一个广播地址发送 ICMP 回响请求，在此广播网络上，潜在的计算机会做出响应，大量响应将发送到受害主机，此攻击后果同 ICMP 泛洪，但比之更为隐秘。

SYN 泛洪：蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 连接而进行的攻击，该攻击利用 IP 欺骗，向受害者的系统发送看起来合法的 SYN 请求，而事实上该源地址不存在或当时不在线，因而回应的 ACK 消息无法到达目的，而受害者的系统被大量的这种半开连接充满，资源耗尽，而合法的连接无法被响应。

UDP 泛洪：该攻击通过向目标 IP 发送大量 UDP 包，占用带宽，消耗资源。

Fraggle 攻击：该攻击是 smurf 的变种，针对防火墙对 ICMP 包检查比较严格的前提下，不再向广播地址发 ICMP 请求包，而是改为发送 UDP 包。

Small-packet 攻击：IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的资源。

bad mac intercept：目的 MAC 地址等于源 MAC 地址的报文攻击。

bad ip equal：目的 IP 地址等于源 IP 地址的报文攻击。

二、防御方法：

确保服务器的系统文件是最新的版本，并及时更新系统补丁。

关闭不必要的服务。

限制同时打开的 SYN 半连接数目。

缩短 SYN 半连接的 time out 时间。

正确设置防火墙 禁止对主机的非开放服务的访问 限制特定 IP 地址的访问 启用防火墙的防 DDoS 的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。

限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。

使用 unicast reverse-path 访问控制列表(ACL)过滤， 设置 SYN 数据包流量速率，升级版本过低的 ISO 为路由器建立 log server 能够了解 DDoS 攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的 DDoS 攻击。