假设有一个局域网，1个路由器+1个交换机+N台连在交换机上的电脑，路由器接在外网上。

攻击的是你的路由器。
一般个人用户或小公司，对DDOS是无能为力的，防御不了。
DDOS是一种流量攻击，用大量的带宽来占你的带宽，目的是让你掉线，并不是攻击某台电脑让这台电脑出问题。
比如你10M的带宽他发动1000台2M带宽的肉鸡来攻击你，一秒钟就把你带宽占满，就掉线了。
防御DDOS世界难题，非常难以防御的，也根本没有有效的办法。

一般防御都是消极的，加大带宽。比如，集群--服务器所在机房里所有的服务器共同抵御某台主机带来的攻击。加大攻击者的成本，比如你服务器带宽是100M的，他要用过几千台肉鸡才能形成非常有效的攻击，如果你机房带宽是四G，集群以后，攻击者要对付的4G的带宽，那小型攻击一般无效。组织上万台电脑的攻击不是一般人能行的。

纠正两个概念
一，路由器：路由是连接内网和外网的网络设备，是网关，做数据转发。是内网外网的中转站。
二，路由器本身就是一台电脑，有cpu有内存。可以看做是一台装了linux的简化了功能的小电脑。
三，基本所有的网络攻击都是针对路由器的攻击。

防御：
做为个人用户，2-4M的adsl，防御DDOS不用想了。绝无可能。三十台肉鸡攻击你十秒掉线。装什么软件防火墙也没用。硬件防火墙小有用处，效果好点的硬防也不是个人用户能承受的。比如让你买一台3万元的硬件防火墙你会买吗？即使是买了也做用不大，毕竟带宽只有那么点，攻击者多加几台肉鸡罢了，攻击成本很低。

是的。ddos最终攻击的就是路由器。从某种程度来说，IP就是你的路由器。攻击有两种，一是，利用你操作系统（路由器的操作系统）的漏洞或硬件漏洞，和路由器大量对话或发些让操作系统出问题的数据包，让路由器的cpu使用百分之百或者死机，这时路由就不能转发内网数据，掉线。再一种是用大量带宽占用你的带宽，路由从内网转发的数据出不去，也是掉线。
你说的网速变慢也有两种可以，一是路由器cpu占用率太高，已经不能有效地转发内网数据，二是，你原来10M的带宽被攻击占用的9M，只有1M给你用，能不慢吗？

路由器：就是一台电脑。用你的电脑就完全可以做成一台路由器，而你买的路由是把不必要功能都去掉