减轻DDoS面临的挑战

　　虽然许多企业日益关注DDoS，但很少有企业部署专门的DDoS机制。那些能够暂时解决DDoS的企业往往依赖于不具备快速减轻能力和灵活性的方法。

　　尽管下面这些措施得到广泛应用，但对多数企业而言，只靠这些措施来抵挡当今变化多端的大型DDoS是远远不够的。

　　1、过度配置带宽

　　路由器ip带宽控制虽然提供过度的带宽是最常见的对抗DDoS的措施之一，但事实上，这样做既无成本效益也不高效可行。对于企业来说，提供高于其需要处理峰值负载的额外75%的带宽是很少见的，而且一旦超过了所提供的带宽数量，过度配置带宽就无效了。此外，过度提供的带宽仅能解决网络级的，而不能应对应用程序级或操作系统级的。由于现代的每秒钟能够携带一百万个数据包，即使配置再好的网络也会被击垮。

　　2、防火墙

　　虽然防火墙过去常用来对付DoS(服务)，且完全够用，但是僵尸网络等手段降低了在网络边缘的有效性。使用防火墙来减轻DDoS可能会导致CPU的利用达到峰值，并耗尽内存资源。此外，防火墙并没有异常检测能力。

　　3、入侵检测系统(IDS)

　　入侵检测设备一般位于防火墙之后，其设计目的是为了检测某种恶意的数据包。无论IDS还是IPS，其设计目的都不是为了应对海量的。将其用于减轻DDoS会对其入侵检测的本来功能产生影响。此外，在IDS检测到异常而发出时，通信已经在消耗互联网带宽，严重影响网络功能，导致CPU的利用达到峰值，并耗尽内存资源。

　　4、入侵防御系统(IPS)

　　入侵防御系统有能力作为一种异常检测器而工作，不过，IPS可能需要花几星期时间才能理解正常的通信模式，然后，企业或其IPS厂商必须再花几天时间进行人工调整，指定应当准许哪些通信，应当哪些通信或对哪些通信发出。所以，签名的更新往往来得太晚，无法DDoS。此外，许多IPS设备依赖于特定厂商的信息，所以这种设备并没有得到调整和更新，无决全部，其中就包括DDoS签名。最后，IPS设备受到TCP会话数量的，还受到它在特定时间能够处理的带宽数量的。在负载超过其负荷时，它就会“宕机”。

　　5、路由器

　　路由器无法性IP源(这正是DDoS包的最主要源头)，也无法人工追踪成千上万的IP地址，这就使得ACL(访问控制列表)无法有效对付DDoS。

　　6、依赖互联网服务供应商来减轻DDoS

　　许多企业并不特别关注服务等级约定(SLA)、报告、带宽能力、黑洞路由以及第三方DDoS减轻方案的其它细节，而是认为其ISP供应商会提供DDoS。这种依赖是很的。