防御ddos攻击的11种方法？分享介绍？

1 采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。
2 尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。
3 充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。
4 升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 24G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。
5 把网站做成静态页面或者伪静态
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。
6 增强 *** 作系统的TCP/IP栈
Windows *** 作系统本身就具备一定的抵抗DDoS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!
7 安装专业抗DDOS防火墙
8 >DDOS攻击的目的有两个：一个是消耗网络带宽资源，二是消耗服务器系统资源。
因此在遇到DDOS攻击的典型现象就是，带宽资源被耗尽，或者服务器系统资源被占满。
在遇到DDOS攻击，用户需要判断攻击的方式，进而采取相应的措施。
但是，此时实际上已经给用户造成了影响了，因此建议用户使用专业的抗DDOS攻击，提前预防。
修改注册表防范DDos攻击：
Windows Registry Editor Version 500
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
'第二个网关，通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000
'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NoNameReleaseOnDemand"=dword:00000001
'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，
'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是，NT40必须设为1，设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
'源路由包，微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
'增加5000个，这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
'的系统，建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
====================================================
以上存为reg后即可直接导入
当然可以在里面相应的添加其他设置进行一次性修改注册表如:
'关闭445端口
"SMBDeviceEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
'禁止C$,D$一类的共享
"AutoShareServer"=dword:00000000
'禁止ADMIN$缺省共享
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
'限制IPC$缺省共享
"restrictanonymous"=dword:00000000

狗爹的主机一直以访问稳定，高带宽和性价比高著称，如果是选择海外主机建站的话，GoDaddy的服务器确实是不错的选择。目前狗爹的自营机房遍布全球，包括有北美、欧洲和东南亚等等地区，物理距离近网页访问ping值也会更低。
以小型工作室或展示类官网为例，选用海外虚拟主机套餐￥33/月起，最常用的旗舰版仅￥65/月，除了具备增强型的服务器处理能力，无限量的储存、数据库、宽带之外，还额外赠送免费企业邮箱、免费域名、免费 SSL 证书，性价比相当高。具体不妨百度一下。

对于网站而言，特别是官方网站，服务器稳定性是最重要的。如果在稳定性方面不能够保证业务运行的需要，再高的性能也是无用的。正规的服务器厂商都会对产品进行不同温度和湿度下的运行稳定性测试。那如何在使用过程中保证服务器的稳定性呢？小编整理了影响服务器稳定性的几点因素供您参考。

1信息堵塞

信息堵塞可能导致服务器故障。即带宽限制，或者服务请求响应最大限制。当信息来源出现来源不明或带宽有限制等情况同时出现，就会超过服务请求响应的最大限制，导致信息在通讯过程中出现信息堵塞，进而会影响到服务器运行时的稳定性。

2信息残缺

信息残缺也可能导致服务器故障，从而影响服务器的稳定性。信息残缺包括：信号接收不全、或信号传播不稳定都可能引起信息残缺。在使用过程中出现信号接收不全面或者在信号传播时不稳定的话都很有可能引起信信息残缺，从而影响到服务器运行时的稳定性。

3机房环境

机房环境的配置，如通风条件，防火条件，空调等，这些外在因素也有可能影响到服务器的稳定性。一些用户在选择服务器的时候可能听说过这样的一种说法：租用的服务器所在的机房环境的配置很有可能影响到服务器的稳定性。确实也是如此，就好比你在一个环境好些的环境里面工作或者学习，工作效率以及注意力等各方面会好些，环境不好肯定就相反了，因此，机房的环境也是影响服务器稳定性关键因素。

4恶意攻击

随着互联网的不断发展，市场竞争逐渐激烈，所以日常除了预防黑客的入侵，还要预防一些同行的恶意攻击，一旦有人对服务器进行攻击并肆意破坏，或者植入一些病毒等，这将会大大影响您的工作进程，严重的甚至您的重要资料都有可能，这时我们就应该一些具备防御能力的高防服务器与之应对。

5硬件故障

硬件故障有硬盘故障、网卡故障等，这其实就是提醒我们在使用时必须经常做好备份，以免发生紧急情况导致数据丢失等。

除了几大影响因素之外，还有一些安全管理的失误了：比如说火灾、人为因素引起的硬件损坏或者不可抗力因素：比如战争、地震、洪水等。这些当然是跟服务商没有任何关联的。

那么从哪些方面考察服务器稳定性呢？

1服务器PING值

进行PING值的测试，PING测试在一定程度上可以代表服务器的宽带速度。以便做一个直观的了解。

2服务器Unix系统性能测试

由于很多服务器采用的是Unix系统，所以Unix系统下的测试也非常重要，在这里小编推荐一款比较具有权威性的Unix系统性能测试软件Unixbench来做基本的测试。

3服务器的带宽

这个就更不用说了，也是服务器好坏的核心指标之一，也是服务器中成本最高，最贵的，一定要仔细考察。

作为一名常年在GoDaddy平台“驻扎“，也对域名交易投资非常感兴趣的程序猿，必须来给狗爹一个好评。
1、中文网站+客服。这一点必须点赞。狗爹算是老牌域名注册服务商了，服务的国家可以说覆盖世界各地，因此他们的售后服务也是支持多语言体系的。对国内用户来说，有专门的中文客服全程沟通那绝对是省心不少，技术问题解决很快，就算想要退费也很干脆。而且GoDaddy有中文官网，支持银联支付宝，这一点上也比其他同类平台更以贴心。
2、优惠多性价比高。比如在购买域名前，你可以加入狗爹的域名特惠俱乐部，会员购买域名可以有非常优惠的折扣，甚至有些热门后缀能拿到接近六折的价格，还包含续费在内。如果是想买主机的话，新加入GoDaddy的用户可以以99元的价格购买cpanel主机，简直不要太省！而且买1年虚拟主机服务，可以享有免费赠送的com域名、企业邮箱，还有无限带宽和100G存储等等，一站式搞定！
3、速度快稳定性好。购买的域名再好听、虚拟主机服务再完善，如果网站打开速度慢、还经常宕机，会严重影响用户体验。在这一点上，狗爹可以说非常靠谱的。Godaddy有美国、欧洲与亚洲数据中心支持，能保证999%正常运行时间，还有全天候的网站监控和DDoS防护。反正我用这几年还没有出过什么问题，百度上面有这方面的信息。

---