我对 DoS 和 DDoS 攻击的经验是基于作为 ISP 的思科工程师和后来作为一个非常大的全球的安全经理的。根据这次经验，我发现要有效应对大规模和复杂的攻击，需要在受攻击的组织与其 ISP 或 DDoS 缓解合作伙伴之间建立良好的合作伙伴关系（是的，现在有公司致力于此，本质上他们是一个非常大型 ISP 本身，但使用其全球网络承担攻击期间产生的额外流量）。

如果您面临超出带宽容限（又称带宽消耗）的攻击并且您需要帮助以做出响应，以下是一些注意事项。

在不存在缓解合作伙伴的情况下： 与您的 ISP 建立牢固的关系。确定发生攻击时需要的正确团队和联系人。

使用您的防火墙（或其他日志记录设备）来获取攻击的证据（源 IP、协议、数据包长度等），因为这些信息对于 ISP 在决定如何响应时非常有价值。凌晨三点尝试从命令行捕获 Cisco 路由设备上的流量并不好玩！所以任何帮助表示赞赏。:-)

有了这个，您可能的方法是过滤掉 ISP 云中的流量。如果您能够提供足够的信息并且流量是这样的，那么 ISP 很可能能够过滤掉恶意流量并让有效的网络流量自由访问您的网络。但是，如果您对 ISP 造成延迟问题，那么他们很可能会在其 BGP 网关处对您的整个路由进行黑洞化，您将从网络上消失。额外的路由过滤器会导致网关负载，因此不要指望您的 ISP 添加多个过滤器，因为这可能会影响其他用户。

使用缓解合作伙伴：

我只能从一个提供者的经验中说出来，所以你需要做功课来决定你是否需要这个，如果需要，谁最适合提供。

该服务基于 BGP 路由通告和攻击监控。一旦识别出攻击，缓解合作伙伴就会公布您的路由以通过他们的网络，其中核心路由器用于在传递给组织之前过滤掉恶意流量。

我在所有这一切中的角色是测试合作方法的 DDoS 缓解方法的实施。这涉及利用全球安全工程师团队来生成足够的流量以进行有效测试。我们正在测试识别攻击和有效响应的能力。基于此，我们对他们的整体方法印象深刻，并且解决方案有效。

这实际上是两种不同但相似的攻击。

“常规” DoS 基于尝试通过某种错误或漏洞使服务器/防火墙崩溃。例如众所周知的SYN Flood攻击。针对这些的保护当然是特定于缺陷（例如 SYN cookie），以及一般的安全编码/设计。

然而，DDoS 只是试图通过大量看似合法的请求来淹没服务器/防火墙。
说实话，单个防火墙并不能真正防止这种情况，因为没有真正的方法来标记“坏”客户端。这只是一个“尽力而为”的问题，例如限制自身使其不会崩溃，负载均衡器和故障转移系统，尝试将 IP 列入黑名单（如果不是根据“坏”，那么根据使用情况），当然，积极通知管理员。
最后一个可能是最重要的，因为在明显的 DDoS 的情况下（我说很明显，因为只是正常的峰值使用可能看起来 就像 DDoS - 真实故事）真的需要人来区分情况的上下文，并弄清楚是否要关闭、尽力而为、提供另一个盒子等（或采用反击...... ssshhh !!）

一种不由防火墙直接执行的针对 DDOS 的保护是在全球范围内分发页面的内容，使来自一个国家/地区的所有请求都针对本地服务器执行，而来自另一个国家/地区的请求则针对相同的 URL 或域，针对其他本地服务器执行，在本地服务器之间分配负载并且不会使唯一服务器过载。该系统的另一点是请求不会传播太远。

这是 DNS 的一项工作，基础设施称为内容交付网络或 CDN。

CloudFlare 等公司提供此类服务。

DDOS 通常是通过向服务器发送大量数据包来完成的，服务器自然会疯狂地尝试处理这些数据包。一旦防火墙注意到可能的 DDOS，它可能会被配置为将任何具有足够高 PPS（每秒数据包数）的客户端列入黑名单。

过滤器可以随时打开和关闭，因此如果您遇到 DDOS，您可以打开具有非常严格规则集的过滤器。