基于Web的DDoS攻击主要针对ASP、JSP、PHP、CGI等脚本平台，利用脚本程序一般都需要调用数据库的特点，构造正常的脚本功能，与服务器建立正常的TCP连接，不断地向脚本程序提交查询、列表等大量消耗数据库资源的请求，以攻击者极小的资源消耗，迫使服务器承受极大的运行压力，以达到拒绝服务的目的。

因为DDoS的特殊性，就原理来说，只要因特网存在，只要目前的硬件设备运行机理不产生革命性的的变化，想要彻底根除DDoS攻击是不可能的，因为DDoS是利用了网络协议的设计缺陷，要根除这样的攻击，除非不使用网络协议才能做到，而这点明细是不符合实际情况的。

不过，技术的发展是渐进的过程，虽然从原理和根源上目前还无法做到根除DDoS攻击，但是就现有的硬件设备、防御技术等方面综合而言，如果攻击者做不到绝对意义上的网络极限攻击，防范者还可以进行有效的防范的。下面我就介绍一下防御DDoS的一些方法。

1.以攻击时间段构建防御体系。

这个分类方式核心是根据DDoS攻击发起的过程而产生的，可以大致分为事前安全、事中抵抗、事后分析，然后分析总结出结论后，再进行下一轮的事情安全循环。

2.以硬软件构建DDoS防御体系。

（1）硬件方面首先要保证网络设备不能成为瓶颈，需要力所能及地采用高性能的网络设备构建网络体系。因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。

（2）保证有充足的网络带宽支持。

（3）对服务器硬件进行升级或扩容，特别是服务器的CPU和内存。

3.以管理员职责构建DDoS防御体系。

（1）从企业管理员来看，关闭不惜要的服务、限制无用的端口连接、及时更新系统补丁等常规服务器安全配置。

（2）从IDC来看，目前国内基本都是主机托管的方式进行网络运营的，所以面对DDoS的时候，IDC应该尽一份力，如机房部署硬件防火墙，增加机房带宽的总出口等。

4.以攻击类型构建防御体系。