有效防御缓慢型 DDOS 攻击的方法

反向代理 CDN：反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。反向代理服务器通常可用来作为 Web 加速，即使用反向代理作为 Web 服务器的前置机来降低网络和服务器的负载，提高访问效率。

采用高性能的网络设备：抗 DDoS 攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的 DDoS 攻击是非常有效的。

尽量避免 NAT 的使用：无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换 NAT 的使用，除了必须使用 NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为 NAT 需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多 CPU 的时间。

充足的网络带宽保证：网络带宽直接决定了能抗受攻击的能力，假若仅有 10M 带宽，无论采取何种措施都很难对抗现在的 SYNFlood 攻击，当前至少要选择 100M 的共享带宽，1000M 的带宽会更好，但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M。

升级主机服务器硬件：在有网络带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒 10 万个 SYN 攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是 CPU 和内存，内存一定要选择 DDR 的高速内存，硬盘要尽量选择 SCSI 的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦。