DDoS攻击难于防范，但是防范DDoS也不是绝对不可行的事情。本文从DDoS的原理入手，从网络管理员、ISP/ICP管理员和骨千网络运营商等不同角度详细说明如何检查和防范Linux下的DDoS攻击。到目前为止，进行分布式拒绝服务攻击(DDoS)的防御还是比较困难的。因为这种攻击的特点是利用TCP/IP协议的漏洞。除非不用TCP/IP，才有可能完全抵御DDoS攻击。即使DDoS难于防范，我们也不应该“逆来顺受”。实际上，防范DDoS也不是绝对不可行的事情。

几乎所有的主机平台都有抵御DDoS的设置。以Linux操作系统为例，其防范技术主要分为三大类，第一类是通过合理配置系统，达到资源最优化和利用最大化，第二类是通过加固TCP/IP协议栈来防范DDoS；第三类是通过防火墙、路由器等过滤网关，有效地探测攻击类型并阻击攻击。
必须明确的是，DDoS攻击在TCP连接原理上是合法的，除非TCP协议重新设计， 明确定义DDoS和其他正常请求有何不同，否则不可能完全阻止DDOS攻击，我们所做的只是尽可能地减轻DDoS攻击的危害。
1．服务器设置
...

下面介绍如何判断服务器是否受到DDoS攻击。使用如下几个简单的步骤可以进行判断。
◆ 最明显的感觉是服务器响应缓慢，一般直接可以从服务器提供的页面显示速度上察觉。
◆ 登录服务器，用“netstat”命令查看，发现服务器有大量等待的TCP连接。
◆ 利用Sniffer、Tcpdump等嗅探工具会发现网络中充斥着大量源地址为假的伪装数据包。
◆ 从ISPtgi控上可以看出服务器的数据流量猛增，造成网络拥塞，服务器甚至不能正常地与外界通信。
...

防范DDOS攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -an　more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用 w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。如果通过对服务器设置不能有效解决，那么就可以考虑购买抗DDOS防火墙了。其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下通过修改注册表，增强系统的抗DoS能力。 　

...