若是您的http server是apache
可以運用mod_evasive再加上mod_limitipconn
來減輕ddos的衝擊

參考一下這兩篇
http://www.linuxsir.org/main/node/244
http://blog.segaa.net/blog.php/1/post/3/871

如果需要協助,也可以互相討論

儘管網路安全專家都在著力開發抗DoS攻擊的辦法，但收效不大，因為DoS攻擊利用了TCP協議本身的弱點。在交換機上進行設置，並安裝專門的DoS識別和預防工具，能最大限度地減少DoS攻擊造成的損失。
　　利用三層交換建立全面的網路安全體系，其基礎必須是以三層交換和路由為核心的智慧型網路，有完善的三層以上的安全策略管理工具。

　　局域網層

　　在局域網層上，可採取很多預防措施。例如，儘管完全消除IP分組假冒現象幾乎不可能，但網管可構建篩檢程式，如果資料帶有內部網的信源位址，則通過限制資料登錄流量，有效降低內部假冒IP攻擊。篩檢程式還可限制外部IP分組流，防止假冒IP的DoS攻擊被當作中間系統。

其他方法還有：關閉或限制特定服務，如限定UDP服務只允許於內部網中用於網路診斷目的。

　　但是，這些限制措施可能給合法應用（如採用UDP作為傳輸機制的RealAudio）帶來負面影響。

　　網路傳輸層

　　以下對網路傳輸層的控制可對以上不足進行補充。

　　獨立於層的線速服務品質(QoS)和訪問控制

帶有可配置智慧軟體、獨立於層的QoS和訪問控制功能的線速多層交換機的出現，改善了網路傳輸設備保護資料流程完整性的能力。

在傳統路由器中，認證機制（如濾除帶有內部位址的假冒分組）要求流量到達路由器邊緣，並與特定訪問控制列表中的標準相符。但維護訪問控制列表不僅耗時，而且極大增加了路由器開銷。

　　相比之下，線速多層交換機可靈活實現各種基於策略的訪問控制。

這種獨立於層的訪問控制能力把安全決策與網路結構決策完全分開，使網管員在有效部署了DoS預防措施的同時，不必採用次優的路由或交換拓撲。結果，網管員和服務供應商能把整個城域網、資料中心或企業網環境中基於策略的控制標準無縫地集成起來，而不管它採用的是複雜的基於路由器的核心服務，還是相對簡單的第二層交換。此外，線速處理資料認證可在後臺執行，基本沒有性能延遲。

　　可定制的過濾和“信任鄰居”機制

智慧多層訪問控制的另一優點是，能簡便地實現定制過濾操作，如根據特定標準定制對系統回應的控制粒度。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置檔上，而不是對可能是DoS攻擊的組制訂簡單的“通過”或“丟棄”決策。這種方式，既可防止DoS攻擊，也可降低丟棄合法資料包的危險。

另一個優點是能定制路由訪問策略，支援具體系統之間的“信任鄰居”關係，防止未經授權使用內部路由。

　　定制網路登錄配置

網路登錄採用惟一的用戶名和口令，在用戶獲准進入前認證身份。網路登錄由用戶的流覽器把動態主機配置協定（DHCP）遞交到交換機上，交換機捕獲用戶身份，向RADIUS伺服器發送請求，進行身份認證，只有在認證之後，交換機才允許該用戶發出的分組流量流經網路。

參考資料：http://www.pcdog.com/edu/security/2005/08/c016051.html

不知道你的網路拓樸，不過如果頻寬塞爆了，那就一點辦法也沒有。用isp的proxy的確比較能解決問題，因為他們的proxy會檔在你的線路之前，或許可以幫你過濾掉一些流量。如果對方用的是smurf攻擊，我想isp搞不好已經幫你擋掉一些，因為流量很誇張，甚至可能影響租用他線路的機器。首要還是想辦法用入侵偵測軟體先辨認對方的攻擊方法，然後再來想對策。調整tcp/ip網路的參數，用防火牆規則擋住太頻繁的封包等等。

換ip通常dns要一天才能完全生效（看各個上你網站的機器所使用的dns更新頻率而定，還有各個dns的級聯關係也會影響更新速度，上游的dns一小時更新一次，再上游的也一小時更新一次，那上上游的資訊要兩小時才能更新。所以更新dns時，isp會跟你說24小時才會生效），有一點緩不濟急。

如果你只有一台機器代管，沒有多餘的機櫃空間擺多餘的設備，額外租用機櫃空間的費用高於租用isp的proxy，那似乎沒有多少解決方案，也只好跟他租了。

以上的意見是針對攻擊封包已經用完你的頻寬的狀況，就技術上能用的方法真的不多。另外的方法，就是跟isp盧，就看你盧的功力了。

這種趁火打劫的ISP應該公佈一下以供參考,如果利害衡量(錢與網站)公司之下,一時之間無較優的作法,也只好先將就ISP的解法,否則真的就是拉回來自己管. 當然,要是ISP的方法無效,就跟它求償損失!