你是正确的，如果数据包到达你的服务器，攻击已经成功，主要是。许多企业会从一家公司购买 DDOS 保护，该公司会在此类数据包到达您宝贵的管道之前为您丢弃这些数据包。

一家这样的公司以及服务如何运作，非常广泛。 https://www.cloudflare.com/overview

这确实是显而易见的，但是如果您是配置丢弃数据包的人，那么数据包将在您配置丢弃它们的任何位置丢弃。您通常有许多选项，例如网关路由器、防火墙、负载平衡器或服务器（如果服务器具有基于主机的防火墙）。

如果它们在我的服务器上被丢弃，这有什么帮助，因为数据包已经到达并因此占用了带宽。还是丢包只是一种避免发送回复的技术，因此攻击者必须等待超时？

您在这两点上都是正确的 - 如果攻击纯粹针对带宽并且攻击者拥有比您更多的带宽，那么在服务器上丢弃数据包将是徒劳的。这种攻击只能从上游带宽比攻击者更多的地方缓解，例如您的 ISP 或 CDN（例如 Cloudflare）。但是，并非所有攻击都以带宽为目标。一些目标服务器的处理能力或内存，在这种情况下，在服务器处或附近丢弃数据包可能会有很大帮助。

发起 DDoS 攻击的目的是降低服务（无论是网络还是 DNS，就像最近 10 月 21 日对 DYN 的攻击一样）。

因此，保护​​自己免受 DDoS 攻击的主要任务是：

• 识别攻击，意味着识别攻击数据包并将其与真实流量隔离。
• 在适当的级别（或位置）丢弃攻击流量

如果它们在我的服务器上被丢弃，这有什么帮助，因为数据包已经到达并因此占用了带宽。还是丢包只是一种避免发送回复的技术，因此攻击者必须等待超时？

在哪里丢弃攻击流量取决于各种参数，例如：

• 你有多少带宽？DDoS 流量是否阻塞了您的网络？
  如果是这种情况，那么您必须在您的 ISP 的帮助下阻止他们级别的攻击流量并阻止它到达您。如果您的 ISP 不提供此解决方案，或者您想从专家那里获取此解决方案，那么许多其他公司正在提供这些解决方案。

• 足够的带宽，但服务器因 DDoS 而阻塞
  如果是这种情况，那么您也可能会丢弃网络中的流量。