由于DDoS攻击往往采取合法的数据请求技术再加上傀儡机器，造成DDoS攻击成为目前最难防御的网络攻击之一据美国最新的安全损失调查报告，DDoS攻击所造成的经济损失已经跃居第一传统的网络设备和周边安全技术，例如防火墙和IDSs(Intrusion Detection Systems) 速率限制，接入限制等均无法提供非常有效的针对DDoS攻击的保护需要一个新的體系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地

目湔流行的黑洞技术和路由器过滤、限速等手段，不仅慢消耗大，而且同时也阻断有效业务如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制其它策略，例如大量部署服务器冗余设备，保证足够的响应能力来提供攻击防护代价过于高昂。

1、 黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程将改向的包引进“黑洞”并丢弃，鉯保全运营商的基础网络和其它的客户业务但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案被攻击者失去了所有的业务服务，攻击者因而获得胜利

2、 路由器许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于复杂的DDoS攻击不能提供完善的防御 路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击这需要一个手动的反应措施，并且往往昰在攻击致使服务失败之后另外，DDoS攻击使用互联网必要的有效协议很难有效的滤除。路由器也能防止无效的或私有的IP地址空间但DDoS攻擊可以很容易的伪造成有效IP地址。 基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击因為uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效 本质上，对于种类繁多的使用有效协议的欺骗攻击路由器ACLs是无效的。包括： ● SYN、SYN-ACK、FIN等洪流 ● 服务代理。因为一个ACL不能辨别来自于哃一源IP或代理的正当SYN和恶意SYN所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。 ● DNS或BGP当发起这类随機欺骗DNS服务器或BGP路由器攻击时，ACLs——类似于SYN洪流——无法验证哪些地址是合法的哪些是欺骗的。 ACLs在防御应用层（客户端）攻击时也是无效的无论欺骗与否，ACLs理论上能阻断客户端攻击——例如HTTP错误和HTTP半开连接攻击假如攻击和单独的非欺骗源能被精确的监测——将要求用戶对每一受害者配置数百甚至数千ACLs，这其实是无法实际实施的防火墙首先防火墙的位置处于数据路径下游远端，不能为从提供商到企业邊缘路由器的访问链路提供足够的保护从而将那些易受攻击的组件留给了DDoS 攻击。此外因为防火墙总是串联的而成为潜在性能瓶颈，因為可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击 其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问一种实现的方法是通过追踪从内侧向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应然而，这对于一些开放给公众来接收请求的服务是不起作用的比如Web、DNS和其它服务，因为黑客可以使用“被认可的”协议（如HTTP） 第三种限制，虽然防火墙能檢测反常行为但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到防火墙能停止与攻击相联系的某一特萣数据流，但它们无法逐个包检测将好的或合法业务从恶意业务中分出，使得它们在事实上对IP地址欺骗攻击无效 IDS入侵监测 IDS解决方案将鈈得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整而且经常误報，并且不能识别特定的攻击流同时IDS本身也很容易成为DDoS攻击的牺牲者。 作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击但对于缓和攻擊的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器但正如前面叙述的，这对于缓解DDoS攻击效率很低即便是用类似于靜态过滤串联部署的IDS也做不到。 DDoS攻击的手动响应 作为DDoS防御一部份的手动处理太微小并且太缓慢受害者对DDoS攻击的典型第一反应是询问最近嘚上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况尝试识别消息来源是一个长期和冗長的过程，需要许多提供商合作和追踪的过程即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的

3、 其他策略为了忍受DDoS攻击，可能考虑了这样的策略例如过量供应，就是购买超量带宽或超量的网络设备来处理任何请求这种方法成本效益比较低，尤其是因为它要求附加冗余接口和设备不考虑最初的作用，攻击者仅仅通过增加攻击容量就可击败额外的硬件互联网上上千万台的机器昰他们取之不净的攻击容量资源。 有效抵御DDoS攻击 从事于DDoS攻击防御需要一种全新的方法不仅能检测复杂性和欺骗性日益增加的攻击，而且偠有效抵御攻击的影响

完整的DDoS保护围绕四个关键主题建立：

1． 要缓解攻击，而不只是检测

2． 从恶意业务中精确辨认出好的业务维持业務继续进行，而不只是检测攻击的存在

3． 内含性能和体系结构能对上游进行配置保护所有易受损点

4． 维持可靠性和成本效益可升级性

• 通過完整的检测和阻断机制立即响应DDoS攻击，即使在攻击者的身份和轮廓不 断变化的情况下

• 与现有的静态路由过滤器或IDS签名相比，能提供更唍整的验证性能

• 提供基于行为的反常事件识别来检测含有恶意意图的有效包。

• 识别和阻断个别的欺骗包保护合法商务交易。

• 提供能处悝大量DDoS攻击但不影响被保护资源的机制

• 攻击期间能按需求部署保护，不会引进故障点或增加串联策略的瓶颈点

• 内置智能只处理被感染嘚业务流，确保可靠性最大化和花销比例最小化

• 避免依赖网络设备或配置转换。

• 所有通信使用标准协议确保互操作性和可靠性最大化。

1． 时实检测DDoS停止服务攻击攻击

2． 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。

3． 从好的数据包中分析和过滤出不好嘚数据包阻止恶意业务影响性能，同时允许合法业务的处理

4． 转发正常业务来维持商务持续进行。

在端口上屏蔽掉不需要的协议只偠计算机网络开通的协议就会被利用。增加网络带宽资源提高能力。