虽然目前网络安全产品的种类非常多，但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等，由于涉及之初就没有考虑相应的DDoS防护，所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击，对大规模DDoS攻击还是无法提供有效的防护。

1 手工防护
   一般而言手工方式防护DDoS主要通过两种形式：
系统优化——主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护，当黑客提高攻击的流量时，这种防护方法就无计可施了。
网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的，那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者，即使已经确定了攻击源头，进而对其流量进行阻断，也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在，所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。

2 退让策略
　　为了抵抗DDoS 攻击，客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好，一方面由于这种方式的性价比过低，另一方面，黑客提高供给流量之后，这种方法往往失效，所以不能从根本意义上防护DDoS攻击。

3 路由器
　　通过路由器，我们确实可以实施某些安全措施，比如ACL等，这些措施从某种程度上确实可以过滤掉非法流量。一般来说，ACL可以基于协议或源地址进行设置，但是目前众多的DDoS攻击采用的是常用的一些合法协议，比如http协议，这种情况下，路由器就无法对这样的流量进行过滤。同时，如果DDoS攻击如果采用地址欺骗的技术伪造数据包，那么路由器也无法对这种攻击进行有效防范。
另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击，但是对于今天的DDoS攻击而言，这种方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击，这样就完全可以绕过uRPF防护策略。除此之外，如果希望uRPF策略能够真正的发挥作用，还需要在每个潜在攻击源的前端路由器上配置uRPF，但是要实现这种情况，现实中几乎不可能做到。

4 防火墙
　　 防火墙几乎是最常用的安全产品，但是防火墙设计原理中并没有考虑针对DDoS攻击的防护，在某些情况下，防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。
首先是防火墙缺乏DDoS攻击检测的能力。通常，防火墙作为三层包转发设备部署在网络中，一方面在保护内部网络的同时，它也为内部需要提供外部Internet服务的设备提供了通路，如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击，防火墙对此就无能为力，无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测，但是这些检测机制一般都是基于特征规则，DDoS攻击者只要对攻击数据包稍加变化，防火墙就无法应对，对DDoS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制，传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降，不能有效地完成包转发的任务。
最好防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置，虽然某种意义上保护了网络内部的所有资源，但是其往往也成为DDoS攻击的目标，攻击者一旦发起DDoS攻击，往往造成网络性能的整体下降，导致用户正常请求被拒绝。

5 入侵检测
　　目前IDS系统是最广泛的攻击检测工具，但是在面临DDoS攻击时，IDS系统往往不能满足要求。
原因其一在于入侵检测系统虽然能够检测应用层的攻击，但是基本机制都是基于规则，需要对协议会话进行还原，但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量，所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力，但这都需要安全专家手工配置才能真正生效，其实施成本和易用性极低。
原因之二就在于IDS系统一般对攻击只进行检测，但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力，这样才能真正意义上减缓DDoS对于网络服务的影响。
IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点，这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。
　　 针对当前的DOS/DDOS攻击现状，上海遐迩网络科技有公司自主研发的抗拒绝服务产品——DosNipe抗拒绝服务硬件防火墙，具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署，保证网络的整体性能和可靠性。
　　 DosNipe抗DDOS防火墙目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。可以抵御多种拒绝服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: