DDOS防御是个很重要的课题，对于大公司来说，有很多资源可以调配，但对小型应用来说，却是灭顶之灾。这个主要讨论下，如何让小型的应用最大限度的抵御DDOS。

首先，我们要针对的是，导致带宽耗尽的情况。至于碎片攻击或者针对操作系统漏洞的情况就不考虑了。我们知道，DDOS最常用的方式，是利用大量的肉鸡在同一时刻发起攻击，导致某个服务系统无法响应合法的请求。通常来说，一个网络服务总是以一个域名为标记的，比如g.cn。DDOS的目标就是以G.CN无法响应合法用户请求为目标。

我们知道，一个合法的请求和响应，总是要经过几个步骤：

1、域名解析G.CN-->74.125.95.160

2、向该IP发起请求

3、接收结果返回

在常用的做法中，由域名服务器管理多个IP对应一个域名来实现负载均衡。或者在一个IP后面建立一个集群。一个DDOS的发起，最终总是针对于一个具体的IP，如果多个IP对应同一个域名，那么必须同时让所有的IP服务失效。对于一个小型的应用来说，这个显然不现实。那么，我们如果要防御DDOS，只能有2种可能：1、让攻击的目标IP不再是自己的；2、让攻击找不到自己的IP，将DDOS扼杀在发动的之前。这2种方案完全将游击战术发展到极致，就是“藏”。

我们知道，类似宽带之类的就是一个动态IP，当宽带遭到DDOS的时候，很容易就崩溃了，因为他的带宽十分有限。但是，这种情况下，如果重新刷新IP，这时，DDOS所攻击的IP地址就被转移到其他地方去，而自己的机器就得到保护。同时，也带来了另外一个问题，访问者如果保证及时准确获得新的IP呢？我们知道花生壳之类，提供了这种动态域名解析。如果攻击者要攻击花生壳的域名解析，显然代价要大的多。由于攻击者不是合法的服务器的合法用户，所以，他对动态域名的变化是不敏感的，这样就能导致他的攻击失效。这种办法采用的是第一种方案。

第二种方案需要客户端的配合。因为我们要隐藏真实的IP，但同时要让合法的客户所知道，因此，我们必须有一个协议，让合法的用户得到我们真实的IP，显然，我们需要第三方来发布真实IP，而这第三方又是DDOS无力攻击，或者攻击代价很大的服务商。我选择CODE.GOOLE.COM作为发布位置，为什么呢？首先，GOOGLE的带宽和强大的服务器保证我们发布地不会垮掉。我们在CODE上发布一组文件，这个文件包含用户名、用户密码、公钥为主要索引HASH出来的值，客户端知道自己的用户密码以及公钥，就能获取准确的文件，然后从文件的内容中解析出真实的IP。

以上2个办法从不同的角度，提高发动攻击的难度，从而保护了我们的真实服务器。

显然，如果攻击者是我们的合法用户的话，那么，他将同样能够捕捉到真实的IP。如果这样的话，那么除了换IP，似乎没有其他办法了。