嗯....

其實應該這樣說,FW是可以檔一些DDoS !! 至於想要全面擋DDoS , 光靠FW 當然不可能...
之前提過的UDP Packet 來把頻寬塞爆的問題,其實也不是擋不住, 問題就在於你的DDoS FW
不可能可以安裝到ISP裡面 , 讓你串接於連線到你的頻寬之前!! 如果可以做到這點
那要擋UDP Packet來塞爆你使用的頻寬就變得可行 , 問題來了,ISP應該要怎麼向你收費 ??
如果ISP開放讓你來裝DDoS FW , 那每一路頻寬就裝一台,ISP沒有那麼多空間來讓你裝設備 !!
所以 , 通常的解決方案應該是ISP去買DDoS FW,提供給客戶使用!! 但費用就真的是OOXX


要徹底解決UDP Packet 的DDoS ,唯一的方法就是只有ISP能做,只要每一家ISP去做好末端
Router的Source IP Address ACL 就能解決UDP容易造假進而發動DDoS攻擊 !!

可是,ISP一定抱著多一事不如少一事的心態,再說,這些DDoS封包也是幫ISP賺錢推廣服務的金雞母!!
搞不好,這些DDoS攻擊都是ISP去私底下養出來的!!