想象一个购物中心。根据定义，任何人都可以进入商场然后浏览商店。它是公开的。商店期待人们过来，看看展示，也许进入然后买东西。

在商场里，有一个店主，比如卖电脑。我们就叫他吉姆吧。他希望人们过来看看这些电脑，然后被诱惑购买。吉姆是我们故事中的好人。

让鲍勃。鲍勃是一个心怀不满的虚无主义者，他讨厌吉姆。Bob 会不遗余力地让 Jim 不高兴，例如扰乱 Jim 的生意。鲍勃没有很多朋友，但他很聪明，以他自己扭曲的方式。有一天，鲍勃花了一些钱让当地报纸刊登一则广告；广告用大字体和鲜艳的色彩表示，吉姆在他的商店十岁生日之际进行了一次大促销：前一百名进入商店的顾客将获得一台免费的 iPad。为了掩盖他的踪迹，Bob 用化名“bob”（这是他的名字，但拼写倒过来）与报纸打交道。

第二天，当然，可怜的吉姆被想要免费 iPad 的人淹没了。人群挤满了吉姆的商店，但也挤满了商场的很大一部分，这里挤满了失望的人，他们开始明白没有免费的 iPad 这样的东西。他们的消极情绪使他们不太可能购买其他任何东西，并且由于人群的压力，他们无论如何都无法移动，所以商场里的生意完全停止了。吉姆变得非常不受欢迎，在前 iPad 狂热者和他的店主同事中也是如此。鲍勃窃笑。

此时，Jim 联系了商场经理 Sarah。莎拉决定打电话给消防员来处理紧急情况。消防员带着闪亮的头盔、闪光的卡车、尖叫的警报器和锋利的斧头来了，很快就说服人群散去。然后，莎拉打电话给她的朋友冈瑟。冈瑟是德国移民的儿子，纯属美国大熔炉的产物，但更重要的是他是联邦调查局特工，负责此事。冈瑟很聪明，以他自己扭曲的方式。他接触报社，先是一头雾水，随即有一个直观的启示：啊哈！“鲍勃”只是“鲍勃”的倒写！冈瑟立即着手逮捕鲍勃，并让他在县法官面前迎接他严峻但合法的命运。

最后，为了避免与其他虚无主义者发生进一步的问题，他们不会被鲍勃被肢解的尸体展示在商场前的景象所吓倒，莎拉设计了一种缓解措施：她聘请了亨利和赫伯特，这两个看起来很卑鄙的肌肉发达年轻人，并将它们张贴在商场入口处。如果超过给定阈值的大量人试图进入，Henry 和 Herbert 负责阻止访问。如果原型鲍勃再次出击，这将允许在不缺乏空间和人群控制的外部停车场管理问题。

道德： DDoS 无法预防，但可以通过采取积极措施来减轻其后果，并且可以通过执法机构通常的、历史上认可的展示实力来阻止肇事者。如果僵尸网络变得太容易租用，可预见的后果包括增加警察的参与、在基础设施级别对用户进行主动身份验证、关闭网络中最不知名的部分（尤其是合作较少的国家的互联网访问），以及大量对失去一个更文明的过去感到不满和悲伤。

不管别人怎么说，是的，你可以。

许多大公司都有非常有效的解决方案，即使是最近的 Spamhaus 之战，它使用 DNS DDoS 的规模之前从未见过，一旦 CloudFlare 加入，它就被迅速覆盖。

我测试过的解决方案在传输 DDoS 流量方面非常有效，即使它是真实有效流量的镜像。对于其中一些测试，切换是亚毫秒级的，对合法流量几乎没有可测量的影响。

这些通过动态重新路由协议工作，原则上可以在任何地方工作。它们只被大公司使用的原因是它们的成本很高。

对所有 ISP 来说，一个明智的解决办法是控制出站流量并共享过滤器列表——这可以完全防止 DDoS 攻击。它只需要用户和公司从他们的 ISP 那里要求它，并从任何不提供此服务的人那里转移。最终，任何不提供它的 ISP 都会被列入黑名单。

不，这在理论上或实践上都是不可能的。足够好的分布式 DDoS 攻击与合法流量无法区分。

考虑“slashdot”或“reddit”或“digg”效应，其中实际的合法流量会导致目标网站上的网络服务中断。在许多情况下，简单地在 slashdot 上发布指向目标网站的链接是一种有效的 DDoS。

好吧，您可以扩展基础设施，使僵尸网络更难保持足够的流量来禁用服务，但最终，如果 DDoS 使用其他合法流量引起问题，唯一的对策​​就是增加带宽比他们高。如果您可以将来源识别为流氓，那么您可以尝试阻止流量被您的服务器处理（这将减少 CPU 和内存负载），但您仍然必须处理互联网将要传递的流量.