為了對抗 DDoS(分散式拒絕服務)攻擊，你需要對攻擊時發生了什麼有一個清楚的理解. 簡單來講，DDoS 攻擊可以通過利用伺服器上的漏洞，或者消耗伺服器上的資源(例如 記憶體、硬碟等等)來達到目的。DDoS 攻擊主要要兩大類: 頻寬耗盡攻擊和資源耗盡攻擊. 為了有效遏制這兩種型別的攻擊，你可以按照下面列出的步驟來做：

1. 如果只有幾臺計算機是攻擊的來源，並且你已經確定了這些來源的 IP 地址, 你就在防火牆伺服器上放置一份 ACL（訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話 將 web 伺服器的 IP 地址變更一段時間，但是如果攻擊者通過查詢你的 DNS 伺服器解析到你新設定的 IP，那這一措施及不再有效了。

2. 如果你確定攻擊來自一個特定的國家，可以考慮將來自那個國家的 IP 阻斷，至少要阻斷一段時間.

3、監控進入的網路流量。通過這種方式可以知道誰在訪問你的網路，可以監控到異常的訪問者，可以在事後分析日誌和來源IP。在進行大規模的攻擊之前，攻擊者可能會使用少量的攻擊來測試你網路的健壯性。

4、對付頻寬消耗型的攻擊來說，最有效（也很昂貴）的解決方案是購買更多的頻寬。

5、也可以使用高效能的負載均衡軟體，使用多臺伺服器，並部署在不同的資料中心。

6、對web和其他資源使用負載均衡的同時，也使用相同的策略來保護DNS。

7、優化資源使用提高 web server 的負載能力。例如，使用 apache 可以安裝 apachebooster 外掛，該外掛與 varnish 和 nginx 整合，可以應對突增的流量和記憶體佔用。

8、使用高可擴充套件性的 DNS 裝置來保護針對 DNS 的 DDOS 攻擊。可以考慮購買 Cloudfair 的商業解決方案，它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。

9、啟用路由器或防火牆的反IP欺騙功能。在 CISCO 的 ASA 防火牆中配置該功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中啟用該功能只要點選“配置”中的“防火牆”，找到“anti-spoofing”然後點選啟用即可。也可以在路由器中使用 ACL（access control list）來防止 IP 欺騙，先針對內網建立 ACL，然後應用到網際網路的介面上。

10、使用第三方的服務來保護你的網站。有不少公司有這樣的服務，提供高效能的基礎網路設施幫你抵禦拒絕服務攻擊。你只需要按月支付幾百美元費用就行。

11、注意伺服器的安全配置，避免資源耗盡型的 DDOS 攻擊。

12、聽從專家的意見，針對攻擊事先做好應對的應急方案。

13、監控網路和 web 的流量。如果有可能可以配置多個分析工具，例如：Statcounter 和 Google analytics，這樣可以更直觀瞭解到流量變化的模式，從中獲取更多的資訊。

14、保護好 DNS 避免 DNS 放大攻擊。

15、在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略：流控，包過濾，半連線超時，垃圾包丟棄，來源偽造的資料包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播。

最後多瞭解一些 DDOS 攻擊的型別和手段，並針對每一種攻擊制定應急方案。

原文出處：http://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network