网络层（IP层）

1. 源IP地址验证：
   • 采用反向路径转发（RPF）检查。路由器检查每个进入的数据包，验证其源IP地址是否可通过到达该路由器的相同接口返回。如果不能，则丢弃该数据包。这可以防止攻击者使用伪造的源IP地址进行DDoS攻击。
2. IP黑名单与白名单：
   • 建立IP黑名单，将已知的恶意IP地址（如曾经发起过DDoS攻击的IP）加入其中，直接丢弃来自这些IP的数据包。同时，对于一些可信任的IP地址建立白名单，优先处理来自白名单的数据包。
3. 设置TTL（Time - To - Live）值：
   • 合理设置数据包的TTL值，当数据包在网络中传输时，每经过一个路由器TTL值减1，当TTL值为0时，路由器丢弃该数据包。可以通过适当降低初始TTL值，限制恶意数据包在网络中的传播范围。

传输层（TCP层）

1. SYN Cookies：
   • 在TCP三次握手过程中，服务器收到客户端的SYN包后，不立即分配资源建立连接，而是根据SYN包的信息（如源IP、端口等）计算出一个特殊的Cookie值作为初始序列号（ISN），并将这个值放入SYN + ACK包中返回给客户端。当客户端返回ACK包时，服务器再次计算Cookie值，验证是否与之前发送的一致。如果一致，则建立连接。这样可以避免在半连接状态下消耗过多资源，抵御SYN Flood攻击。
2. TCP连接速率限制：
   • 限制单位时间内允许建立的TCP连接数量。例如，设置每秒只允许从同一个源IP地址建立一定数量的新TCP连接（如10个）。超出这个速率的连接请求将被丢弃或延迟处理，防止攻击者短时间内发起大量的TCP连接请求耗尽服务器资源。
3. TCP窗口机制优化：
   • 动态调整TCP窗口大小。在面对DDoS攻击时，如果发现网络拥塞，可以适当减小窗口大小，降低数据发送速率，避免网络进一步拥塞。同时，当网络状况好转时，再逐步增大窗口大小，恢复正常的数据传输效率。

应用层

1. HTTP请求频率限制：
   • 针对基于HTTP协议的DDoS攻击，在应用层限制单个IP地址在单位时间内可以发送的HTTP请求数量。例如，每分钟只允许一个IP发送100个HTTP请求，超出部分的请求直接返回错误信息或进行限流处理，防止恶意用户通过大量HTTP请求耗尽服务器资源。
2. 验证码机制：
   • 在关键操作（如登录、注册等）前，要求用户输入验证码。验证码由服务器生成并发送给客户端，客户端输入后再提交到服务器验证。这可以有效阻止自动化的DDoS攻击工具，因为它们很难识别和输入验证码。
3. 负载均衡与CDN（内容分发网络）：
   • 利用负载均衡器将流量均匀分配到多个服务器上，避免单个服务器承受过大的流量压力。CDN则将内容缓存到离用户更近的节点，使用户直接从缓存节点获取数据，减少源服务器的流量，提升系统整体的抗DDoS攻击能力。