DDoS（分布式拒绝服务）攻击是无解的吗？
本题已收入知乎圆桌 >> ，欢迎关注讨论。
按投票排序
【更新】从 来 都 不 是！魔高一尺，道高一丈，道高一尺，魔高一丈。这不是车轱辘话，这是事实，魔和道谁高要看双方投入的资源。假设攻击者手上有数万台肉鸡，你是一个小站的管理员，就算你的水平比他高，你觉得后果会如何？假设你是国家某重要部门的网站管理员，攻击者只是个小黑客，你觉得他下场如何？道消魔涨，魔消道涨，道涨魔消，魔涨道消。这不是绕口令，这也是事实，是说攻击成本和防御成本：防御做的越完善，攻击者消耗的成本越高，被发现的风险也越大；攻击做的越好，防御所付出的代价越大，追踪越难。如果防御者把防御做到攻击者要达到目的所需付出的代价大于攻击带来的收益减去由于攻击而被惩罚的风险（我一口气差点没喘过来），那么攻击就没意义了，因为这是个赔本生意，除非防御方有个懂群嘲超级能拉仇恨的老板（某人表示无辜躺枪。。。）什么？你说DDoS攻击没有成本？少年，你还是图样图森破啊，手上那么多肉鸡不花钱的？不花钱要花精力吧？不花精力天上掉下来的出门捡的你干点什么别的不好非要做这样没前途的事情？不知道就算是给肉鸡装软件刷流量卖广告也能赚的盆满钵满么？而且那是 可~持~续~发~展~， 你一发动DDoS就会开始掉粉，哦，不对，是掉肉鸡，全掉光了你拿什么养老？养~老~不~能~靠~国~家~要想富，少做攻击多养鸡。而且你见过几个发了财的还在混黑社会？人家都变成社团了，不对，国际化企（第四声）业。说几个小故事吧：1.某人用synflood伪造IP地址攻击重要部门，惹了主管部门了，采用类似拉闸限电的方式分区搜捕，结果悲剧了。这个例子是DoS不是DDoS，但是可以告诉我们有关部门下了决心有多危险；2.某人用肉鸡DDoS某网站，反向追踪很难，但是他有个坏习惯喜欢开着自己的笔记本（无跳板）保持一直Ping目标机器，确定有没有攻击成功，结果你们懂的，所以说常在河边走哪能不湿鞋；3.某人玩DDoS，觉得自己玩的很专业，肯定不会被查到，可是侦探小说告诉我们警察叔叔不需要懂技术，有种方法叫做“得到最大利益的人就是最可疑的”，被请进去协助调查的时候你会希望自己的情商也和智商一样高，对了，还有你队友的情商和智商。哦，还有，网监的同志们是知道进屋前拉掉电闸以防止你破坏证据的，我觉得他们好莱坞电影看多了，谁真的会在家里的电脑上装自毁装置啊？再说，你装了自毁装置那不就是承认自己有问题么？你以为是拍香港律政剧还是美国警匪片？你有权利保持沉默？你有权利请律师？你有权利把牢底坐穿！你还玩DDoS么？你说你没有同伴，心智坚强，好，那扫描肉鸡的0Day是你自己挖的？控制Botnet的程序也是自己写的？DDoS攻击的代码也原创的？来来来，同学，我帮你介绍工作吧，你这样的人才工作地点从太平洋东岸到太平洋西岸一定是随便挑，我要的不多一个月薪水就好，对，你不用付我自己去找雇主要，你问我为啥不内推，嗯，内推只有几千块奖金我不干。什么？你不喜欢打工只愿意单干，来来来，同学，我们来讨论下风险投资和天使基金，这里有几百万不够的话我们再去拿，对对对是美刀不是人民币，你看看想做什么项目，占的不多10%就可以，报酬什么的你也不用担心，我拿项目提成就好。……………………………………DBA表示DDoS什么的弱爆了，好多网站都存在性能Bug，有时候几个简单的请求数据库系统就挂了我会告诉你怎么干吗？CCIE表示DDoS什么的弱爆了，好多系统都有网络规划/配置Bug，有时候几个简单的数据包发过去网络就瘫痪了我会随便说吗？社会工程学高手表示DDoS什么的弱爆了，好多机房一不小心就溜进去关电源拔硬盘如果BCP做得不好那可不是停机一两天的事情我会跟你讲吗？黑帽子表示DDoS什么的弱爆了，我手上有0Day若干，一般我都是黑进去直接rm -rf /*你家里人都知道吗？某主管部门表示DDoS什么的弱爆了，我们一般都是整个机房拔网线的，只要你敢播在线视频。We have a winner now!The End.………………看完全文和演职员表的同学，你们幸运了，以下是彩蛋时间，杨威利和尤里安乱入中：尤里安：“提督，什么是必胜的秘诀？”杨威利：“集结六倍于敌人的兵力，有着完全的补给和装备。”尤里安：“如果没有这么多兵力呢？”杨威利：“相同兵力补给的情况下，要看指挥运用的能力。”尤里安：“如果兵力不足呢？”杨威利：“以少胜多之所以被称为奇迹，就是因为发生的实在太少啦。”尤里安：“提督您一定有办法的吧？您不是奇迹的杨么？我对您有信心！”杨威利：“尤里安，尤里安，'若是你就有信心'，自古以来，有多少人为了这耀人的名誉，而舍身去做那些不可能的事啊！
以一般人的经济水平（不是高富帅），也就舍得一天花几十，几个月花个几千，然后他就穷逼了。你可以先趁不能访问备个案，再用个国内的免费cdn，能挡一部分。有钱的话，他烧钱买肉鸡你就不会烧钱买高防么？云主机时代带防火墙的主机遍地都是。如果通过社工或者本来就知道对方在哪儿，建议线下解决，玩网的人一般线下是很虚的。也可以试着报警，有句话说得好，技术手段好用就用技术手段，行政手段好用就用行政手段。估计很多混到现在的站长都有被ddos牛打击的经历，与题主共勉。
防御基础1.1. 攻击流量到底多大谈到DDoS防御，首先就是要知道到底遭受了多大的攻击。这个问题看似简单，实际上却有很多不为人知的细节在里面。以SYN Flood为例，为了提高发送效率在服务端产生更多的SYN等待队列，攻击程序在填充包头时，IP首部和TCP首部都不填充可选的字段，因此IP首部长度恰好是20字节，TCP首部也是20字节，共40字节。对于以太网来说，最小的包长度数据段必须达到46字节，而攻击报文只有40字节，因此，网卡在发送时，会做一些处理，在TCP首部的末尾，填充6个0来满足最小包的长度要求。这个时候，整个数据包的长度为14字节的以太网头，20字节的IP头，20字节的TCP头，再加上因为最小包长度要求而填充的6个字节的0，一共是60字节。但这还没有结束。以太网在传输数据时，还有CRC检验的要求。网卡会在发送数据之前对数据包进行CRC检验，将4字节的CRC值附加到包头的最后面。这个时候，数据包长度已不再是40字节，而是变成64字节了，这就是常说的SYN小包攻击，数据包结构如下：|14字节以太网头部|20字节IP头部|20字节TCP|6字节填充|4字节检验||目的MAC|源MAC|协议类型| IP头 |TCP头|以太网填充 | CRC检验 |到64字节时，SYN数据包已经填充完成，准备开始传输了。攻击数据包很小，远远不够最大传输单元（MTU）的1500字节，因此不会被分片。那么这些数据包就像生产流水线上的罐头一样，一个包连着一个包紧密地挤在一起传输吗？事实上不是这样的。以太网在传输时，还有前导码（preamble）和帧间距（inter-frame gap）。其中前导码占8字节（byte），即64比特位。前导码前面的7字节都是和0间隔而成。但第八个字节就变成了，当主机监测到连续的两个1时，就知道后面开始是数据了。在网络传输时，数据的结构如下：|8字节前导码|6字节目的MAC地址|6字节源MAC地址|2字节上层协议类型|20字节IP头|20字节TCP头|6字节以太网填充|4字节CRC检验|12字节帧间距|也就是说，一个本来只有40字节的SYN包，在网络上传输时占的带宽，其实是84字节。有了上面的基础，现在可以开始计算攻击流量和网络设备的线速问题了。当只填充IP头和TCP头的最小SYN包跑在以太网络上时，100Mbit的网络，能支持的最大PPS（Packet Per Second）是100×106 / (8 * (64+8+12)) = 00Mbit的网络，能支持的最大PPS是1488090。1.2. SYN Flood防御前文描述过，SYN Flood攻击大量消耗服务器的CPU、内存资源，并占满SYN等待队列。相应的，我们修改内核参数即可有效缓解。主要参数如下：net.ipv4.tcp_syncookies = 1net.ipv4.tcp_max_syn_backlog = 8192net.ipv4.tcp_synack_retries = 2分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。SYN Cookie的作用是缓解服务器资源压力。启用之前，服务器在接到SYN数据包后，立即分配存储空间，并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后，服务器不再分配存储空间，而且通过基于时间种子的随机数算法设置一个SYN号，替代完全随机的SYN号。发送完SYN+ACK确认报文之后，清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包，通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配，匹配则通过完成握手，失败则丢弃。当然，前文的高级攻击中有SYN混合ACK的攻击方法，则是对此种防御方法的反击，其中优劣由双方的硬件配置决定tcp_max_syn_backlog则是使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数，尽快释放等待资源。这三种措施与攻击的三种危害一一对应，完完全全地对症下药。但这些措施也是双刃剑，可能消耗服务器更多的内存资源，甚至影响正常用户建立TCP连接，需要评估服务器硬件资源和攻击大小谨慎设置。除了定制TCP/IP协议栈之外，还有一种常见做法是TCP首包丢弃方案，利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后，简单比对该IP是否存在于白名单中，存在则转发到后端。如不存在于白名单中，检查是否是该IP在一定时间段内的首次SYN报文，不是则检查是否重传报文，是重传则转发并加入白名单，不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文，等待超时则判定为攻击报文加入黑名单。首包丢弃方案对用户体验会略有影响，因为丢弃首包重传会增大业务的响应时间，有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受，按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单，由设备伪装真实客户端IP地址再与真实服务器完成三次握手，随后转发数据。而指定时间内没有和设备完成三次握手的IP地址，被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外，清洗设备还具备多种畸形TCP标志位数据包探测的能力，通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈，可以处理非常巨大的流量和SYN队列。1.3. HTTP Flood防御HTTP Flood攻击防御主要通过缓存的方式进行，尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业，会有庞大的CDN节点缓存内容。当高级攻击者穿透缓存时，清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计，高于一定频率的IP地址加入黑名单。这种方法过于简单，容易带来误杀，并且无法屏蔽来自代理服务器的攻击，因此逐渐废止，取而代之的是JavaScript跳转人机识别方案。HTTP Flood是由程序模拟HTTP请求，一般来说不会解析服务端返回数据，更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时，返回一段特殊JavaScript代码，正常用户的浏览器会处理并正常跳转不影响使用，而攻击程序会攻击到空处。1.4. DNS Flood防御DNS攻击防御也有类似HTTP的防御手段，第一方案是缓存。其次是重发，可以是直接丢弃DNS报文导致UDP层面的请求重发，可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。特殊的，对于授权域DNS的保护，设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用，在攻击时，非此列表的请求一律丢弃，大幅降低性能压力。对于域名，实行同样的域名白名单机制，非白名单中的域名解析请求，做丢弃处理。1.5. 慢速连接攻击防御Slowloris攻击防御比较简单，主要方案有两个。第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中，HTTP报文太少和报文太多都是不正常的，过少可能是慢速连接攻击，过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击，在一个TCP连接中发送多个HTTP请求。第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成，直接判定源IP地址为慢速连接攻击，中断连接并加入黑名单。2.
企业级防御互联网企业防御DDoS攻击，主要还是使用上文的基础防御手段， 重点在于使用监控、组织以及流程等东西来保障及时、正确的使用这些手段，并根据攻击策略的改变而改变。2.1. 异常监控监控需要具备多层监控、纵深防御的概念，从骨干网络、IDC入口网络的BPS、PPS、协议分布，负载均衡层的VIP新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态，到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效，其他监控点也能够及时给出报警信息。多个点的信息结合起来，有助于准确的判断攻击目标和攻击手法。2.2. 流程以及预案、演习一旦发现异常，立即启动在虚拟防御组织中的应急流程。防御组织需要囊括到足够全面的人员，至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等，所有人员都需要2-3个备份。流程启动后，除了人工处理，还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析，确定攻击类型，自动化、半自动化的防御策略，在安全人员到位之前，最先发现攻击的部门可以做一些缓解措施。除了DDoS到来之时的流程等工作之外，更多的工作是在攻击到来之前。主要包含CDN节点部署、DNS设置、流程演习等。对于企业来说，具备多个CDN节点是DDoS防御容量的关键指标。当一个机房承担不住海量数据时，可以通过DNS轮询的方式，把流量引导到多个分布节点，使用防御设备分头处理。因此DNS的TTL值需要设置得足够小，能够快速切换，每个CDN节点的各种VIP设置也需要准备充分。3.
总结在虚拟化时代，海量用户的不同业务共处在相同的物理机平台，遭受DDoS攻击的可能性越来越高。而且一个用户被攻击可能牵扯到大量的其他用户，危害被显著放大，因此防御显得尤为重要。阿里云的虚拟化云计算业务，平均每天遭受约200起DDoS攻击，最大流量达到接近80Gbit/s，所有这些攻击都在1分钟内自动处理完成，让客户远离DDoS的威胁，专心发展业务。总地来说，对DDoS防御，主要的工作是幕后积累。台上十分钟，台下十年功，没有充分的资源准备，没有足够的应急演练，没有丰富的处理经验，DDoS攻击将是所有人的噩梦。power by
前一阵大名鼎鼎的“匿名者”号称要攻击中国政府网站的时候，阿里巴巴也跟着躺枪了，有一天监控到了300M的攻击流量，坚持了约10分钟。然后大家都乐了，拿这点流量来玩，马总可是备了那么多的带宽在准备双十一呢，这点流量根本不用采取任何措施好么。败家娘们的攻击力远大于黑客组织好么！
谢邀。喝多了怒答此题。
黑产的的ddoser们你们玩卵去吧，攻击分千万种，你们偏偏选择最下作的一种，既然不相信报应，那就让报应快点来。 shutgun说的很好了，我不在重复。一句话，ddos是无法彻底解决的。 防ddos纯属是烧钱的事情，防到什么程度就看你愿投入多少。溯源也是一样，看你有能力动用多大的成本，你若是国家机器的话，甚至是动用外交手段，黑客直接过来跪了。 有一种误区，很多人认为ddos在于协议设计的不完善，或者存在漏洞。我不说三次握手这种协议缺陷，也不说slowery这种漏洞的情况，我只说说前端xss引发的ddos为例。假如有微博上的xss蠕虫，去干一个中小网站是没什么问题的，而且完全都是正常的请求，首先跪的是ddos防火墙，另外请求的页面也不是随便选的，而是要连接数据库的页面，这个占用资源多，再控制个可变的参数来防止缓存，例如网站的搜索功能，这样cdn也跪了。此时蠕虫感染到50万，你的网站已经被正常的请求干到抬不起头来了，好了，你限制了微博referer，这是绝对有效的手段，大大降低了服务器资源的开销，可是降低了开销不等于没有开销，请问正则匹配referer就不消耗资源么，就算忽略资源消耗也是要消耗带宽的吧。好吧，现在感染的用户超过500w，看你网站跪不跪。反正我也是键盘侠，那我就继续站着说话不腰疼吧，希望各位站长宁愿把钱花在防D的成本上，也不要给那些威胁你们的大(tu)黑(zai)客(zi)们。
怎么会无解你要硬挺几天不管他，对方玩够了就解了有钱把带宽加到比攻击方流量还大就解了有关系直接报警把攻击者抓了就解了有几个黑客是吃饱了撑的没事攻击你啊？对方有啥要求你满足了也解了，比如买个对方的防火墙什么的。但是，限定时间内没有钱没有资源还真是没啥办法。
只要是tcp ip的网络，就无法解决。可以说这是tcpip协议簇的漏洞。就像arp攻击，也可以说是arp协议的漏洞，无法解决。但是在ipv6中，有了邻居发现协议，arp攻击就根本不会存在了！
得看你有没有钱，没钱无解。不要妄想几台小破服务器搞搞安全设置就能防d了，没可能的。这玩意就是两边拼钱，专业ddos都是有成本的，而且还老贵的。一般没有深仇大恨不至于玩太凶。
首先第一点，如果你说理论上，ddos攻击还没有办法真正防御，那么有人会问，那岂不是国家的网络，网站，美国中情局，等等网站只要有足够的肉鸡，也就是傀儡主机，都可以使其瘫痪？答案是肯定的，但同时也是否定的第一，现在攻击者的立场讲，他攻击肯定会带来利益，而且肯定大于投入成本，先不说他攻击国家机关，别国国家网站能不能又那么多肉鸡，就说利益，我想从黑产的角度来说这样带来的利益微乎其微，亏本的买卖谁会做，而同时也会有被请去喝茶的机会也就是说刚刚的问题，是否定的，而题主的问题是肯定的，就目前来说，也和其他几位答友说的，没有足够的利益不会有人花很大代价用这样的方法攻击你，同时可以进行服务器等硬件防护升级，还有软件上一些端口禁用，以及国内一些工资的安全防护，引流等等来防御，正常来说是没问题的。
只能缓解，不能解决。1、购买流量清洗2、增加出口带宽3、增加出口带宽4、增加出口带宽重要的事说三遍
只有手段最低劣的人才用DDoS。上大学之前我玩过一个月的黑，最开始的时候，我接触的第一个攻击工具就是DDoS工具，操作最简单，最没有技术含量。后来买了个远端，还有点肉鸡，去攻击某岛国网站，玩了几天感觉没意思就送人了。然后我把硬盘格了系统重做。那之后我开始玩阿D工具，就是没成功几次，但是一旦成功。。。DDoS？一边玩卵去把~后来我把硬盘又格了，系统又重做一次，所有电脑上登录过的密码都改了一次。所有东西都被我删除。收拾东西准备大学((╯‵□′)╯︵┻━┻明明是大专)生活参考事件，XX年，ping死美国佬。然而人家搞定了ping死命令。╮(╯▽╰)╭顺便补充一下，政府网站最好攻击了
前面有说什么政府网站最好打的，政府网站需要DDOS么，我半小时写个webbench脚本，放到raspberry上跑一跑都能把政府网站跑趴下。真正做DDOS的人不傻，没有人愿意去攻击正规网站，都是找黄，赌，私服搞，这些都是不正规的，不敢报警。所以解决办法只有一个：买高防。最后求个职：前面那位大哥，我专搞Linux，集群真的是我自己写的，rootkit也是自己写的，爆破器，抓鸡工具都是我自己写的，大哥能介绍一个太平洋彼岸的工作么。。。
Google問道：你進來了嗎？
跟天朝春运的感觉差不多，人太多走不了怎么办？增加运力。虽然说技术主可以区分出一些明显非正常的请求，但这并不能保证有效请求都得到处理。最终原因仍然是资源不足以处理这么多请求，解决方案就是提升系统整体性能。
现阶段无解！要么大幅度提升运算性能，要么修改tcp协议机制。貌似两种办法都不是短时间能实现的。
首先了解DDOS 攻击的三种类型：1、带宽消耗型攻击；例如TCP
SYN-ACK Flood、IP
Fragment Flood、UDP
FLOOD；通过大量的数据包占用带宽；2、资源消耗型攻击； 利用了HTTP 服务器的一些漏洞，构建特殊结构的数据包或者请求，从而导致服务器计算资源耗尽无法提供服务。 例如HTTP Get Flood。3、DNS 攻击; 向应用系统发送大量的错误DNS解析请求，通过DNS递归查询机制（NS服务器需要进行频繁的字符串匹配，本地无法查到结果，必须使用递归查询向上层域名服务器提交解析请求），占用服务器的缓存，导致资源不足无法正常提供服务。例如DNS query flood、DNS reply flood；其次针对性的了解应对措施：1、带宽消耗型攻击，部署流量清洗设备，设定一定的阈值，超过阈值则丢弃数据包。 也可加大带宽，提供业务访问带宽保障；或者识别出DDOS攻击网段，在本地的运营商配合在骨干路由器上将流量引入“路由黑洞”。2、资源消耗型。部署流量清洗设备过滤异常流量。对应用系统进行补丁、设置加固，消除漏洞。3、DNS 攻击类型。 需要流量清洗设备进行攻击防护，需要进行相关的安全设置。如限制每个源 IP 地址每秒的域名解析请求次数，对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制等等。
通过分析可以了解到，DDOS攻击是多种类型的，每种攻击都有一定的防护手段，采取有效的手段是完全可以控制DDOS攻击的影响范围。但是要拦截DDOS攻击，需要耗费大量的人力物力，并协调运营商解决等等，非常难以有效防范。如果没有做好充足的应对措施，短时间内使无法防范DDOS攻击的影响。
本人不是什么网络安全大咖，只不过是一家大型国企公司的一个小小的网络管理员。经验不足，在这里想和大家就DDOS防御探讨几个观点，希望能抛砖引玉。好了，这是我的观点：大多数的网页服务都过于集中，便于攻击，导致了因为防御成本的成倍提升而防御困难，而我们可以依照“菜篮子”原理设计网络架构，既然网络攻击能分布式攻击，那么我们同样可以将服务端做成分布式的要明白我的观点，首先要了解DDOS的原理，有个很生动的例子（转自百科）：一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。例子中的商铺就是DDOS中受害的服务器，恶霸就是DDOS攻击者。攻击者追寻这以下几点思路进行攻击：1.特定的一家餐厅（基于IP地址的对指定某服务器的攻击）2.这家餐厅的服务对象上限（服务器承受的带宽上限）3.堵塞该店铺的路径（解决掉中间通道运营商）4.这家餐厅提供的服务（针对服务器中的某个服务）看了大家关于DDOS的发言，很多人愿意在第二项上面下手，即提升带宽上限来增加硬防，为在无法判断数据交换请求的硬性需求是否是真正所需的情况下，这种土豪做法是最明显的提升方法，也是成本最高的方法。在我国通道流量算比较贵的情况下，这种方法的代价太高使防御变成了一种瓶颈。但我探讨以下几种观点及其延伸：针对基于IP地址的攻击，是受攻击面过于集中，但如果我们拥有足够多的IP、使用多个DNS域名解析，甚至启用DDNS动态域名（技术可能还不成熟），将域名分布式建立，然后进行加上疏流管理，是不是能缓解一些压力？换句话说，我们是不是可以这样，既然很多用户（好用户和坏用户）都选择从餐厅的正门进入，我们开通其他后备通道，在正门相对拥挤的情况下，选择规范正门进入用户数量，开通备用通道计入的方式？就好比我们的交通规则，从A到B原先只有1条路，当人满为患时，我们除了将道路修宽之外，可以新增道路（访问地址1，访问地址2）、可以安装交通灯（提示：当前地址1用户已满，前面排队用户还有88个，或者选择地址2）、增加访问时间限制（距您在本网页处理还有998秒）等这些可能性能不能实现？在我所管辖的网络里，我们公司拥有自己的内部网络，使用的做法之一就是建立多通道的服务器分布式集群，有一个前端挂了的时候，我们可以使用另外一个前端进行备投。许多网游公司都有这样的概念：用户分为电信、联通、铁通用户，这样能有效的进行数据交换请求的分流，能一定程度上缓解DDOS压力，但这并不能从根本上缓解压力，所以很多人说这个方法然并卵。针对基于带宽上限的攻击，这个现有的技术只能做到土豪做法，即给钱，提升硬防。我探讨的是三点：1.减少数据交换需求。进行类似数据流进行压缩和检测排除的做法，减少对通道的压力比如用户提出需求：“老板，今天天气很不错，给我来两斤白酒”。这个就是一个数据交换的过程，作为“老板”，我们可以辨别出“今天天气很不错”这句话是费词，可以去掉以减少通话时间（通道流量），那么能做到压缩并检测排除数据流的东西，我第一个想到的就是登录客户端了，一方面可以对数据流进行加密处理，一方面可以优化数据交换需求。2.减少通道成本。这个可以根据各个地域不同的通道费用，选择相应较低费用的通道，甚至考虑服务端对外使用并行多路动态（使用动态域名技术）+静态网络（专线VPN），服务器集群之间使用静态固定网络，这样做的原因是由于动态网络的成本要远低于静态成本，减少通道投入成本相应的就减少了防御成本。3.将需求数据库建设成云数据库。如果做云数据库呢？将重要数据库分地区存放，再建立专用的多通道城域网（服务器内网）DDoS最多能攻击到几处，我们可以关闭其中几条通道，并将服务转移呢？
当然有解全国/全球范围部署2000G带宽，全部加上硬件防火墙，使用Anycast技术，目前没有人打得垮你，除非某个互联网巨头丢下业务不管，去攻击你这费用要好几亿一年，当然，这个是极端的例子，防御要花比攻击大得多的成本，先了解你承受的攻击量，估计对方能发动或者愿意发动的攻击量，再估算防御的费用人家一天花几万发起攻击，如果花几千几万块一年能扛住，那DDoS攻击早消失了，也不会形成DDoS这黑色产业链如果你的业务可能会遭受DDoS攻击，那就要从最初的设计、从整体考虑防御策略1、所有重要的环节均要部署防御，包括服务器、DNS注册商、NS托管商2、系统架构要灵活，尽可能的易于分离和迁移3、针对协议层的防御，比如web，要有七层（HTTP）的防御
做不到避免攻击的发生，但是能够做到减小攻击造成的危害，甚至使得危害影响不到正常的服务，这个度要看攻击的规模以及被攻击的应对能力。
现有技术最优解，花钱堆硬件。比如Google。