Ddos攻击现在越来越普遍、智能、低成本化，因其攻击具有突发性，很难防御，但是我们还是可以通过一些二攻击特点，提取预判攻击的来临，通过和智能防火墙结合，就能起到很好的预防作用，避免不必要的损失。

1.大量目标主机域名解析：根据分析，攻击者在进行 DDoS 攻击前总要解析目标的主机名。BIND 域名服务器能够记录这些请求。每台攻击服务器在进行攻击前会发出 PTR 反向查询请求，也就是说在 DDoS 攻击前域名服务器会接收到大量的反向解析目标 IP 主机名的 PTR 查询请求。虽然这不是真正的 DDoS 通信，但能够用来确定 DDoS 攻击的来源。

2.极限通信流量：当 DDoS 攻击一个站点时，会出现明显超出该网络正常工作时的极限通信流量的现象。现在的技术能够对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在 DDoS 攻击的通信。因此可以在主干路由器端建立访问控制列表（Access Control List，ACL）和访问控制规则，以监测和过滤这些通信。

3.特大型的 ICMP 和 UDP 数据包：正常的 UDP 会话一般都使用小的 UDP 包，通常有效数据内容不超过 10 B。正常的 ICMP 消息长度在 64128 B 之间。那些明显大得多的数据包很有可能就是 DDoS 攻击控制信息，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息，DDoS 服务器的位置就暴露出来了，因为控制信息数据包的目标地址是没有伪造的。

4.不属于正常连接通信的 TCP 和 UDP 数据包：最隐蔽的 DDoS 工具随机使用多种通信协议（包括基于连接的和无连接协议）发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于 1024 而且不属于常用网络服务的目标端口的数据包也非常值得怀疑。

5.数据段内容只包含文字和数字字符：例如，没有空格、标点和控制字符的数据包。这往往是数据经过 Base 64 编码后的特征。TFN2K 发送的控制信息数据包就是这种类型。TFN2K 及其变种的特征模式是在数据段中有一串 A 字符（AAA…），这是经过调整数据段大小和加密算法后的结果。如果没有使用 Base64 编码，对于使用了加密算法的数据包，这个连续的字符就是空格。

当然，Ddos攻击还有其他的特点和防御方法，随着网络安全攻防技术的发展，相信我们的防御体系也会原来越全面和智能。