DDoS的进犯办法有许多种，最基本的DoS进犯便是利用合理的服务恳求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

单一的DoS进犯一般是选用一对一办法的，当被进犯方针CPU速度低、内存小或许网络带宽小等等各项功能指标不高,它的作用是明显的。 跟着核算机与网络技能的开展，核算机的处理才能敏捷增 长，内存大大添加，一起也呈现了千兆等级的网络，这使得DoS进犯的困难程 度加大了 - 方针对歹意进犯包的"消化才能"加强了不少，例如你的进犯软件每秒钟能够发送3,000个进犯包，但我的主机 与网络带 宽每秒钟能够处理10,000个进犯包，这样一来进犯就不会发作什么作用。 

这时分分布式的回绝服务进犯手段（DDoS）就应运而生了。你了解了DoS进犯的话，它的原理就很简略。如果说核算机与网络的处理才能加大了10倍， 用一台进犯机来进犯不再能起作用的话，进犯 者运用10台进犯机一起进犯呢？用100台呢？ DDoS便是利用更多的傀儡机来发起进攻，以比早年更大的规模来进攻受害者。 

高速广泛衔接的网络给大家带来了方便，也为DDoS进犯创造了极为有利的条件。在低速网络时代时，黑客占据进犯用的傀儡机时， 总是会优先考虑离方针网络距离近的机器，由于经过路由器的跳数 少，作用好。而现在电信主干节点之间的衔接都是以G为等级的， 大城市之间更能够达到2.5G的衔接，这使得进犯能够从更远的地方或许其他城市发起，进犯者的傀儡机位置能够在分布在更大的范 围， 挑选起来更灵活了。 

DDoS进犯原理: 

经过使网络过载来干扰甚至阻断正常的网络通讯。经过向服务器提交许多恳求，使服务器超负荷。阻断某一用户拜访服务器阻断某服务与特定体系或个人的通讯。 

DDOS进犯(流量进犯)防护步骤:

其实提到最让站长头疼的工作,莫过于DDOS[分布式回绝服务进犯].无法拜访网站但当进犯者进行DDOS进犯时,许多站长都会说“随他玩吧, 等玩够了就不会进犯了” 这样的思路是对的.但又是丧命的. 不进行任何的弥补.坐以待毙.是最大的忌讳 可是关于真实中的DDOS进犯.数量是巨大的.处理办法如下: 

1、运用东西:DDoS deflate . 自动查封IP. 

2、解析域名到127.0.0.1 让进犯方自己进犯自己[代价.网站不行拜访]. 

3、关闭网站的nginx 或许IIS 阿帕奇.等进犯过后再翻开. 

4、换高防服务器(主页运用静态页提高处理器速度). 

5、随他玩吧,等玩够了就不会进犯了. 

6、有条件的朋友,能够考虑做cdn加快. 

关于DDOS防护的了解 

对付DDOS是一个体系工程，想仅仅依靠某种体系或产品防住DDOS是不现实的，能够必定的是，彻底根绝DDOS现在是不行能的， 但经过恰当的办法抵御90%的DDOS进犯是能够做到的，基于进犯 和防护都有本钱开销的原因，若经过恰当的办法增强了抵御DDOS的才能， 也就意味着加大了进犯者的进犯本钱，那么绝大多数进犯者将无法继续下去而抛弃，也就相当于成功的抵御了DDOS进犯。 

DDoS防护的办法： 

1、选用高功能的网络设备 首先要确保网络设备不能成为瓶颈，因此挑选路由器、交换机、硬件防火墙等设备的时分要尽量选用知名度高、口碑好的产品。 再便是假设和网络提供商有特殊关系或协议的话就更好了，当许多攻 击发作的时分请他们在网络接点处做一下流量限制来对立某些品种的DDOS进犯是非常有用的。

2、尽量防止NAT的运用 无论是路由器仍是硬件防护墙设备要尽量防止选用网络地址转化NAT的运用，由于选用此技能会较大降低网络通信才能，其实原因很简略， 由于NAT需求对地址来回转化，转化过程中需求对网络包 的校验和进行核算，因此浪费了许多CPU的时间，但有些时分必须运用NAT，那就没有好办法了。 

3、足够的网络带宽确保 网络带宽直接决定了能抗受进犯的才能，假若仅仅有10M带宽的话，无论采纳什么办法都很难对立现在的SYNFlood进犯，当前至少要挑选100M的共享带宽， 最好的当然是挂在1000M的主干上了。 但需求注意的是，主机上的网卡是1000M的并不意味着它的网络带宽便是千兆的，若把它接在100M的交换机上， 它的实践带宽不会超越100M，再便是接在100M的带宽上也不等于就有了百兆的带 宽，由于网络服务商很可能会在交换机上限制实践带宽为10M，这点一定要搞清楚。 

4、升级主机服务器硬件 在有网络带宽确保的前提下，请尽量提升硬件装备，要有用对立每秒10万个SYN进犯包，服务器的装备至少应该为：P4 2.4G/DDR512M/SCSI-HD， 起关键作用的主要是CPU和内存，若有志强双 CPU的话就用它吧，内存一定要挑选DDR的高速内存，硬盘要尽量挑选SCSI的，别只贪IDE价格不贵量还足的廉价， 不然会支付高昂的功能代价，再便是网卡一定要选用3COM或Intel等名牌的，若 是Realtek的仍是用在自己的PC上吧。 

5、把网站做成静态页面 许多事实证明，把网站尽可能做成静态页面，不仅能大大提高抗进犯才能，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没呈现， 看看吧！新浪、搜狐、网易等门户网站主要 都是静态页面，若你非需求动态脚本调用，那就把它弄到别的一台单独主机去，免的遭受进犯时拖累主服务器， 当然，恰当放一些不做数据库调用脚本仍是能够的，此外，最好在需求调用数据库的 脚本中回绝运用署理的拜访，由于经历标明运用署理拜访你网站的80%属于歹意行为。 

6、增强操作体系的TCP/IP栈 Win2000和Win2003作为服务器操作体系，本身就具备一定的抵抗DDOS进犯的才能，仅仅默认状态下没有敞开而已， 若敞开的话可抵御约10000个SYN进犯包，若没有敞开则仅能抵御数百个，具 体怎么敞开，自己去看微软的文章吧！ 《强化 TCP/IP 仓库安全》。 或许有的人会问，那我用的是Linux和FreeBSD怎么办？很简略，按照这篇文章去做吧！《SYN Cookies》。 

7、装置专业抗DDOS防火墙 绿盟黑洞: X86架构，Linux内核与自主专利的抗syn-flood算法。对立单一类型的syn，udp，icmp dos作用很好，可是当多种混合时作用就略差。 长处是更新快，技能支持比较好，在100M环境下 对syn-flood有绝对优势。 缺陷是文档和信息缺少，一起工作(软硬件两方面)不是很安稳。