分布式拒絕服務攻擊（DDoS攻擊）是一種針對目標系統的惡意網絡攻擊行為，DDoS攻擊經常會導致被攻擊者的業務無法正常訪問，也就是所謂的拒絕服務。

常見的DDoS攻擊包括以下幾類：
網絡層攻擊
比較典型的攻擊類型是UDP反射攻擊，例如NTP Flood攻擊。這類攻擊主要利用大流量擁塞被攻擊者的網絡帶寬，導致被攻擊者的業務無法正常響應客戶訪問。
傳輸層攻擊
比較典型的攻擊類型包括SYN Flood攻擊、連接數攻擊等。這類攻擊通過占用服務器的連接池資源從而達到拒絕服務的目的。
會話層攻擊
比較典型的攻擊類型是SSL連接攻擊。這類攻擊占用服務器的SSL會話資源從而達到拒絕服務的目的。
應用層攻擊
比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊（即CC攻擊）、游戲假人攻擊等。這類攻擊占用服務器的應用處理資源，極大地消耗服務器計算資源，從而達到拒絕服務的目的。
DDoS攻擊緩解最佳實踐
建議阿里云用戶從以下幾個方面著手緩解DDoS攻擊的威脅：云上安全架構
縮小暴露面，隔離資源和不相關的業務，降低被攻擊的風險。
配置安全組
盡量避免將非業務必須的服務端口暴露在公網上，從而避免與業務無關的請求和訪問。通過配置安全組可以有效防止系統被掃描或者意外暴露。
關于安全組的詳細介紹，請參見安全組使用指南。
使用專有網絡VPC（Virtual private Cloud ）
通過專有網絡VPC實現網絡內部邏輯隔離，防止來自內網肉雞的攻擊。
關于專有網絡VPC的詳細介紹，請參見專有網絡VPC使用指南。
優化業務架構，利用公共云的特性設計彈性伸縮和災備切換的系統。
科學評估業務架構性能
在業務部署前期或運營期間，技術團隊應該對業務架構進行壓力測試，以評估現有架構的業務吞吐處理能力，為DDoS防御提供詳細的技術參數指導信息。
彈性和冗余架構
通過負載均衡或異地多中心架構避免業務架構中出現單點故障。如果您的業務在阿里云上，可以靈活地使用負載均衡服務SLB（Server Load Balancer）實現多臺服務器的多點并發處理業務訪問，將用戶訪問流量均衡分配到各個服務器上，降低單臺服務器的壓力，提升業務吞吐處理能力，這樣可以有效緩解一定流量范圍內的連接層DDoS攻擊。
關于負載均衡的詳細介紹，請參見負載均衡使用指南。
部署彈性伸縮
彈性伸縮（Auto Scaling）是根據用戶的業務需求和策略，經濟地自動調整彈性計算資源的管理服務。通過部署彈性伸縮，系統可以有效的緩解會話層和應用層攻擊，在遭受攻擊時自動增加服務器，提升處理性能，避免業務遭受嚴重影響。
關于彈性伸縮的詳細介紹，請參見彈性伸縮使用指南。
優化DNS解析
通過智能解析的方式優化DNS解析，可以有效避免DNS流量攻擊產生的風險。同時，建議您將業務托管至多家DNS服務商，并可以從以下方面考慮優化DNS解析。
屏蔽未經請求發送的DNS響應信息
丟棄快速重傳數據包
啟用TTL
丟棄未知來源的DNS查詢請求和響應數據
丟棄未經請求或突發的DNS請求
啟動DNS客戶端驗證
對響應信息進行緩存處理
使用ACL的權限
利用ACL，BCP38及IP信譽功能
提供余量帶寬
通過服務器性能測試，評估正常業務環境下所能承受的帶寬和請求數。在購買帶寬時確保有一定的余量帶寬，可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況。
服務器安全加固，提升服務器自身的連接數等性能。
對服務器上的操作系統、軟件服務進行安全加固，減少可被攻擊的點，增大攻擊方的攻擊成本：
確保服務器的系統文件是最新的版本，并及時更新系統補丁。
對所有服務器主機進行檢查，清楚訪問者的來源。
過濾不必要的服務和端口。例如，對于WWW服務器，只開放80端口，將其他所有端口關閉，或在防火墻上設置阻止策略。
限制同時打開的SYN半連接數目，縮短SYN半連接的timeout時間，限制SYN/ICMP流量。
仔細檢查網絡設備和服務器系統的日志。一旦出現漏洞或是時間變更，則說明服務器可能遭到了攻擊。
限制在防火墻外進行網絡文件共享。降低黑客截取系統文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能將會陷入癱瘓。
充分利用網絡設備保護網絡資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數據包丟棄、SYN閥值、禁用ICMP和UDP廣播的策略配置。
通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。
做好業務監控和應急響應。
關注基礎DDoS防護監控
當您的業務遭受DDoS攻擊時，基礎DDoS默認會通過短信和郵件方式發出告警信息，針對大流量攻擊基礎DDoS防護也支持電話報警，建議您在接受到告警的第一時間進行應急處理。
關于配置告警消息接收人和語音告警方式，請參見DDoS基礎防護消息接收人設置。
云監控
云監控服務可用于收集、獲取阿里云資源的監控指標或用戶自定義的監控指標，探測服務的可用性，并支持針對指標設置警報。
關于云監控的詳細介紹，請參見云監控用戶指南。
建立應急響應預案
根據當前的技術業務架構和人員，提前準備應急技術預案，必要時，可以提前進行技術演練，以檢驗應急響應預案的合理性。
選擇合適的商業安全方案。阿里云既提供了免費的基礎DDoS防護，也提供了DDoS防護包、高防IP、游戲盾等商業安全方案。
Web應用防火墻（waf）
針對網站類應用，例如常見的HTTP Flood攻擊，可以使用WAF可以提供針對連接層攻擊、會話層攻擊和應用層攻擊進行有效防御。
關于WAF的詳細介紹，請參見WAF功能使用概覽。
DDoS防護包
DDoS防護包為云產品IP提供防御100G以內的DDoS攻擊的防護能力，即時生效。
關于DDoS防護包的詳細介紹，請參見DDoS防護包用戶指南。
DDoS高級防護
針對大流量DDoS攻擊，建議使用阿里云高防IP服務。
關于高防IP的詳細介紹，請參見DDoS高防IP用戶指南。
游戲盾
游戲盾是針對游戲行業常見的DDoS攻擊、CC攻擊推出的行業解決方案。相比于高防IP服務，游戲盾解決方案的針對性更強，針對游戲行業的攻擊防御效果更好、成本更低。
關于游戲盾的詳細介紹，請參見游戲盾用戶指南。
應當避免的事項
DDoS攻擊是業內公認的行業公敵，DDoS攻擊不僅影響被攻擊者，同時也會對服務商網絡的穩定性造成影響，從而對處于同一網絡下的其他用戶業務也會造成損失。
計算機網絡是一個共享環境，需要多方共同維護穩定，部分行為可能會給整體網絡和其他租戶的網絡帶來影響，需要您注意：
避免使用阿里云產品機制搭建DDoS防護平臺。
避免釋放處于黑洞狀態的實例。
避免為處于黑洞狀態的服務器連續更換、解綁、增加SLB IP、彈性公網IP、NAT網關等IP類產品。
避免通過搭建IP池進行防御，避免通過分攤攻擊流量到大量IP上進行防御。
避免利用阿里云非網絡安全防御產品（包括但不限于cdn、oss），前置自身有攻擊的業務。
避免使用多個賬號的方式繞過上述規則。