想像一個購物中心。根據定義，任何人都可以進入購物中心，然後瀏覽商店。它是公開的。商店正在期望來找人，看顯示器，也許進來然后買東西。

在購物中心裡，有一個店主，他在賣電腦。 。我們叫他吉姆。他希望人們過來看看這些計算機，並誘使他們購買它們。吉姆是我們故事中的好人。

讓鮑勃來吧。鮑勃（Bob）是一個討厭吉姆主義者，討厭吉姆（Jim）。鮑勃竭盡全力使吉姆不高興，例如破壞了吉姆的生意。鮑勃（Bob）沒有很多朋友，但他很聰明，以自己的扭曲方式。有一天，鮑勃（Bob）花了一些錢，讓當地報紙刊登廣告；廣告中以大字體和鮮豔的顏色表示，吉姆（Jim）在其商店成立10週年之際進行了一次重大促銷：進入商店的前一百名顧客將獲得免費的 iPad 。為了掩蓋自己的足跡，鮑勃以化名“鮑勃”（這是他的名字，但拼寫倒寫）與報紙打交道。

第二天，當然，可憐的吉姆想要免費iPad的人們沉迷其中。人群阻塞了吉姆的商店，但也擠滿了購物中心的很大一部分，到處都是失望的人，他們開始明白沒有免費的iPad這樣的東西。他們的消極情緒使他們不太可能購買其他任何東西，並且由於人群的壓力而無法以任何方式移動，因此商場中的生意完全停止了。吉姆變得非常不受歡迎，不僅受到前iPad愛好者的青睞，而且還受到店主同事的歡迎。鮑勃竊笑。

這時，吉姆聯繫了購物中心經理莎拉。莎拉決定通過致電消防員來處理緊急情況。消防員帶著閃亮的頭盔，閃爍的卡車，尖叫的警笛聲和尖銳的斧頭來，並很快說服人群散去。然後，莎拉給她的朋友古納打電話。岡瑟是德國移民的兒子，德國移民是美國熔爐的純種，但更重要的是，他是聯邦調查局的特工，負責這一問題。岡瑟很聰明，以他自己的扭曲方式。他聯繫報紙，首先感到困惑，但隨後有了一個直觀的啟示：啊哈！ “ bob”只是“ Bob”的反拼！岡瑟迅速著手逮捕鮑勃，讓鮑勃在縣法官面前遇見了他嚴峻卻合法的命運。莎拉（Sarah）屍體被擺放在商場前，她設計了一種緩解措施：她聘請了亨利（Henry）和赫伯特（Herbert），這兩個肌肉發達的年輕男子，將他們張貼在商場入口處。如果大量的人試圖超過給定的門檻，亨利和赫伯特負責阻止訪問。如果原始鮑勃再次罷工，這將允許在不存在空間且不容易擁擠的停車場的外部內管理問題。

道德： DDoS不能避免，但是可以採取積極措施來減輕其後果，而且執法機構通常會通過歷史上認可的肌肉展示來阻止犯罪者。如果殭屍網絡變得太容易租借，則可預見的後果包括警察介入的增加，基礎架構級別用戶的主動身份驗證，網絡中最有爭議的部分的關閉（特別是對合作程度較低的國家/地區的Internet訪問）以及大量的失去了過去，更加文明的年齡而感到不滿和悲傷。

儘管別人在說什麼，是的。

許多主要公司都擁有非常有效的解決方案，甚至在CloudFlare投入使用後，最近的Spamhaus之戰（以前所未有的規模使用DNS DDoS）也很快得到了解決。

我測試過的解決方案在傳輸DDoS流​​量方面非常有效，即使它是真實有效流量的鏡像。對於其中的某些測試，轉換時間不到1毫秒，對合法流量幾乎沒有可測量的影響。

這些都是通過動態路由協議實現的，原則上可以在任何地方使用。它們僅由大型公司使用的原因是它們的成本很高。

對所有ISP來說，一個明智的解決方法是阻止出站流量並共享過濾器列表，這可以完全防止DDoS攻擊。它只會要求用戶和公司從其ISP處要求它，並從任何不提供此服務的人那裡轉移。最終，任何不提供它的ISP都將被列入黑名單。

不，在理論或實踐上都是不可能的。足夠好的分佈式DDoS攻擊與合法流量是無法區分的。

請考慮“ slashdot”或“ reddit”或“ digg”效應，其中實際的合法流量會破壞目標網站上的網絡服務。在許多情況下，僅在slashdot上發布指向目標網站的鏈接就是有效的DDoS。

好吧，您可以擴展基礎結構以使殭屍網絡更難以保持足夠的流量來禁用該服務，但是最終，如果DDoS使用其他合法流量導致問題，唯一的解決方法是增加您的帶寬，使其高於他們的帶寬。如果您可以將來源識別為流氓，則可以嘗試阻止服務器處理流量（這將減少CPU和內存負載），但仍然必須處理Internet即將傳遞的流量。

原則上，有幾種方法可以停止DDOS：

• 最簡單的方法是向其添加更多資源。祝您順利刪除amazon.com或google.com。將循環DNS條目與大量雲服務器結合使用，DDOS很難做到。

• 並不是每個人都能負擔得起如此龐大的資源，但這就是CloudFlare之類的服務對於。如果您成為他們的客戶，他們將提供資源（代理，帶寬），並在您需要時立即將其分配給您。就像保險，很多人分享投資，您會在需要時從中受益。

• DDOS流量 通常與合法流量是有區別的。：

  • 例如，如果它以HTTP請求的形式出現，則可以暫時阻止端口80，但仍可以訪問HTTPS和電子郵件服務器。當然，這意味著部分關閉，但是比完全丟失服務要好。
  • 這只是傳聞，但是我被告知，有些專門的交換機可以以難以置信的帶寬進行深度數據包檢查，通過使用FPGA。它們可用於過濾沒有適當的User-Agent的HTTP請求或看似可疑的TCP數據包。

• 最後但並非最不重要的是，您可以通過ISP或骨幹提供商的合作來完成更多的 。如果攻擊集中在地理位置上，請暫時停止將數據從該區域路由到您的服務器。我猜想這些策略將來會被更廣泛地使用。

  （以湯姆·里克的類比：想像鮑勃將他的免費iPad優惠只提供給黑人/中國人/白種人/ ...人。現在僱用種族主義的保安人員，您將製止假顧客的暴行，但要付出代價，即是要激怒一些合法顧客（不用說，請不要在現實中這樣做。）

• 為求完整，如果您知道誰在攻擊您，您可以進行報復。可以通過合法方式打電話給當局，也可以用自己的硬幣歸還他們並攻擊他們的服務器（但請不要！）。

您可以做一些事情，但是您永遠不會受到100％的保護。

在此論壇上，我曾為我的網站推薦過Fail2Ban防火牆，這對我有所幫助。基本上，一個fail2ban會在其禁止ip的日誌文件中檢測到x次類似的活動。

阻止所有未使用的端口也有幫助。

我猜想僅基於p2p的體系結構是有可能的……但是這將需要對計算機的行為進行許多更改，並且這將導致許多小型網站呆滯。這是個好問題。

當您擁有允許集中化的網絡體系結構時，它將始終允許DDOS。為了防止這種情況，您將需要整個Internet基礎結構來感知DDOS，這意味著，當檢測到瓶頸時，對特定IP的所有請求都將被過濾掉。實現這種功能的確非常昂貴，因為路由器被設計為快速運行的，並且需要“ DDOS包含模式”來檢查數據包目標地址，這很慢。該網站仍將最終無響應或無法訪問，但不會崩潰。

另一種方法是使網站具有某種鏡像/廣播系統來重複內容。廣播意味著內容由路由器自動重複。但這需要不經常更改，這是一個嚴峻的要求，而且由於價格昂貴，沒有多少網站能夠負擔得起。

老實說，我並不真的將DDOS視為攻擊或安全問題。殭屍網絡是。

阻止DDoS攻擊的最便宜，最有效和最簡單的方法：

服務器收到的請求超出其處理能力後，就會立即打開“安全模式”。在此模式下，每個請求的IP地址都會獲得一個最小的HTML站點，該站點越小越好，其中包括實時DDoS攻擊警告和驗證碼提示的警告：

輸入正確驗證碼的IP地址進入白名單，允許照常瀏覽該站點。請求再次降低後，“安全模式”將關閉

我很喜歡購物中心的答案。所以這裡有更多細節。

首先，不，使用當前的互聯網體系結構，無法阻止任何規模的攻擊。一個資金雄厚的大型ISP可以阻止大型的ISP。

但是（大致而言），只要攻擊小於您的ISP入站連接的大小，它們就可以很好地保持運行。但是他們需要一些花哨的技術。

我曾經有過的最好的事情有兩個階段。

第一階段確定由DDoS活動引起的流量峰值。一家名為Arbor networks的公司專門從事此業務（ http://www.arbornetworks.com/）

，然後命令該網絡接收到達目的地的所有流量並重新將其路由到DDoS洗滌器。每個洗滌器可以處理一定量的流量，並且可以很好地從噪聲中挑選出有效的流量。

然後，洗滌器會將有效的流量轉發到原始站點。

DDoS攻擊者利用的主要內容是他們可以淹沒流量的集中式資源。如果使應用程序高度分散，DDoS攻擊將無效。

正是通過DNS基礎架構和任播實現的。例如，Google DNS的版本為8.8.8.8，但是它們使用任播，因此處理8.8.8.8的請求的實際計算機分散在世界各地的數據中心中。因此，針對8.8.8.8的DDoS攻擊也將被拆分和分發，這並不是DDoS攻擊的目標。並不是說這使它變得不可能，但效果遠不如此。

不幸的是，並非所有應用程序都設計為在任播ip之後運行。但是總體方法是最好的防禦。使應用程序高度分散，DDoS有效性降低。

取決於。如果在其餘一半的Internet上啟動大小僅為1個字節的DDoS，則整個Internet都將關閉。但這幾乎是不可能的，普通的DDoS攻擊可以吸收但不能停止。在上面的湯姆·里克（Tom Leek）的示例中，安全人員只能處理這麼多人，如果整個世界氾濫成災，他們將無能為力。 DDoS也是如此。您可以支付CloudFlare，Incapsula ...的費用來保護自己，但是如果有足夠的能力，DDoS可以將它們擊倒。

在大型公司級別上的常見解決方案：購買足夠的帶寬/服務器，以同時容納合法用戶和DDoS。

問題之外的其他設備。唯一的其他解決方案是持續不斷的公眾警惕。太多的人草率地使用自己的計算機，並允許他們受到後門或惡意遠程控制。一些設備製造商也對啟用Internet的家用電子產品草率，對它們進行配置不當，使它們容易受到黑客攻擊。

一般經驗法則：在不使用它們時禁止進入連接。如果您將計算機設置為阻止所有傳入連接，則沒有人可以對其進行遠程控制（除了極端退化的後門實例/“殭屍軟件”會主動與服務器建立連接以從中讀取命令）。

大多數通常情況下，一般計算機用戶無需允許傳入連接。如果必須的話，請僅取消阻止需要傳入連接的特定端口/程序，然後在完成這些端口/程序後再次阻止傳入的連接。

IOT設備要困難一些。您不能僅僅讓它們阻止所有傳入的連接，因為它們被設計為可以遠程控制的。

有關該主題的研究，從理論上講，似乎有阻止DDOS攻擊的方法。

此處是Adrian Perrig關於 SCION的演講。 a>，適用於新網絡架構的原型。 本文應該是有關進行DDOS緩解的系統部分的文章。當然，他們會做出有關攻擊殭屍網絡之類的假設。

正如其他人所指出的那樣，如果您的攻擊者強大到足以使DDOS攻擊看起來像合法流量，那麼您基本上處於與未攻擊者相同的狀態為所有用戶提供足夠的資源。因此，這種情況無法避免。