到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:

　　1。确保服务器的系统文件是最新的版本，并及时更新系统补丁。

　　2。关闭不必要的服务。

　　3。限制同时打开的SYN半连接数目。

　　4。缩短SYN半连接的time out 时间。

　　5。正确设置防火墙

　　禁止对主机的非开放服务的访问

　　限制特定IP地址的访问

　　启用防火墙的防DDoS的属性

　　严格限制对外开放的服务器的向外访问

　　运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

　　6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。

　　7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客， 　 无疑是给了对方入侵的机会。

　　8。路由器

　　以Cisco路由器为例

　　Cisco Express Forwarding(CEF)

　　使用 unicast reverse-path

　　访问控制列表(ACL)过滤

　　设置SYN数据包流量速率

　　升级版本过低的ISO

　　为路由器建立log server

　　能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。