其實這類攻擊已經越來越不容易成功, server前端的安全閘道防止DDOS的機制越來越多樣化.

1.sync cookie : 任何TCP based活動皆以sync為建立session的前端預備動作. sync
cookie 可防止fake/random source IP 的大量連線要求, 僅留下實際存在的發起端.

2.source session limit : 假設發起端需為真實主機, 還是有可能被大量發起端進行分
散式攻擊. 故單一來源僅能允許要求限定內的session, 超過直接drop, 防止連線數飽和.

3.aggressive aging : 如果1+2還不夠防止海量攻擊, 可將已成功連線但idle時間最久
的舊連線開始積極的被釋放已便空出新連線空間. 舒緩連線飽和的問題.

4.server load balance : 假設1+2+3過濾後仍舊很海量, 通常重要主機常有負載平衡
的措施, 若有N台在一個負載平衡群組,承載量就是單台的N倍.

5.TCP multiplexing : 假設一台server只能吃5萬個session, 1+2+3+4還是可能不
夠人家打, 前端可以放置大規模的代理設備, 例如1000萬session capacity, 而後端僅
需以少量的static session連繫後方伺服器.如果駭客沒有足夠的兵, 能在session idle
time out前 以通過上述的過濾機制的攻擊 去塞爆session table, 就會始終打不爆.

6.traffic redirect : 如果能把1+2+3+4+5打爆, 基本上一定是大流量, 溢滿既有寬頻
線路, 現在可通過雲端通報的方式, 在電信業者端將該流量轉向至過濾設備, 在進入last
mile之前就將異常流量排除, 讓server端不會受到侵擾.

7.traffic scoring 如果電信業者沒提供6的加值服務, 自己也可以配置DDOS閘道, 分析
伺服器資源與前端要求連線以進行評比, 僅讓伺服器在資源充裕的前提下接受新連線.
資源缺乏過於忙碌時則提高門檻僅讓更可靠的新要求連線進入, 避免服務量飽和.

這些只是部分防止DDOS的手段, 還沒提APT之類低流量但難纏的駭客攻擊. 因為網路
運作有其原理需要遵守, 即使駭客也不能例外, 以光明與黑暗的較勁來觀察, 再過10年,
網路的DDOS就算再發生, 可能也泰半會無功而返.