传统应对DDOS技术的不足

系统优化 

        2000年初期，互联网应对DDoS攻击的主要做法是通过优化服务器操作系统内核参数实现防御，或通过内核优化对特定流量限速，比如限制syn报文速率。但随着攻击流量的日益增大，这种做法彻底失效。 

不断升级基础设施 

        IDC为了应对流量日益剧增的DDoS攻击，不得不把大量资金投在链路扩容上，从多条GE链路上升到多条10G链路，依然无法终结恶魔附体般的DDoS攻击。当前甚至出现了很多百G带宽的IDC，但数据显示，这样的IDC平均每天依然受到一到两次超过50Gbps的攻击。 

        电子商务、在线游戏、在线视频、彩票和赌博网站等都是DDoS攻击的重灾区，客户为了减缓攻击对业务的影响，只能不断从运营商购买更多的带宽，不断加大服务器的集群数量，同时选择多地域部署。但依然长期面临攻击导致的客户体验下降甚至流失的问题。 

黑洞、ACL   

        互联网最早用于抵御DDoS攻击的手段之一是在路由器上对被攻击的IP地址配置黑洞路由，在路由器上将到受攻击的IP的所有流量都丢弃掉，这种做法和很多IDC 采用拔网线的做法本质上是一样的。此做法最大的好处是通过牺牲被攻击的IP的流量，保护其它未受攻击IP的网络带宽资源可用。事实上，该方法目前依然是很多不关注客户体验的传统IDC 的通用做法。事实上随着提倡安全宽带的IDC 的兴起，传统IDC已经面临客户资源的流失。 

        和对受攻击的IP的流量完全黑洞相比，通过在路由器上配置ACL过滤攻击流量就算是相当“仁慈”的了。通过ACL对流量起到分类过滤作用，在特殊场景下确实可以满足防御需求，比如某IP只提供TCP业务，如果受到UDP Flood，可通过ACL过滤其UDP流量放行TCP流量起到攻击防御效果。因此近两年又兴起通过BGP动态发布ACL过滤策略到路由器精细化过滤攻击流量的flowspec 协议。但更多时候，DDoS攻击流量完全模拟正常业务流量，通过ACL过滤变得几乎不可能。 

uRPF   

        uRPF即单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备在转发数据包前通过检查源地址是否与数据包的来源接口相匹配以确认数据包是否合法的一种方法。如果在网络边界配置uRPF，可以在源头过滤伪造源IP地址的DoS/DDoS攻击。但uRPF对伪造源IP地址的DoS/DDoS攻击起效果的一个前提是，此安全机制能在互联网所有可能产生攻击的网络接入设备上应用。但事实上，现网实际部署时，出于性能考虑，基本上没有设备开启该功能。而且更关键是是uRPF防止的是子网发出的伪造源IP地址数据包，如果DoS/DDoS攻击报文采用本子网IP地址作为源IP地址，uRPF也束手无策。可见，uRPF对缓解DoS/DDoS攻击基本上属于美好愿望。 

任意播组网（anycast） 

        典型的Anycast组网应用如城域网的DNS缓存服务器的部署方式，每个省网的DNS缓存系统一般采用1-2个IP地址，每个地市部署几台作为一个相对独立的集群系统，城域网客户的DNS请求通过路由选择最短距离送到DNS服务器处理。当某个地市的DNS系统因DDoS攻击引起链路拥塞或其它故障导致的系统无法响应路由探测时，通往该DNS服务器的路由会快速收敛，可由距离该DNS请求最近的DNS服务器替代提供DNS服务。但针对DNS应用的cache miss攻击效果是IP可达而业务不可达，受攻击地市的用户的DNS请求依然被送往本地市的DNS服务系统，进而被拒绝服务。 

防火墙和IPS   

        防火墙作为网络基础安全设施已经得到人们的认可，但防火墙的主要功能是域间隔离、NAT、VPN。DDoS攻击的对象是部署在防火墙DMZ区的服务器，传统防火墙对DMZ区只能采用通用的基于应用端口和四层协议的访问控制，如果攻击是模拟业务访问报文，防火墙的防范会彻底失效。 
        IPS设备基于特征库过滤已知威胁，但是当前DDoS攻击大部分都是模拟合法业务访问报文，所以IPS系统面对DDoS攻击往往束手无策。

        最糟糕的是，大量变源IP变源端口的DDoS攻击会快速导致部署在网关处的新建会话低的防火墙或IPS早于业务系统瘫痪，现网已经出现多次DDoS攻击引起防火墙和IPS瘫痪最终导致网络业务中断的事故。