问DDoS攻击-数据包被丢弃在哪里？

EN

您是正确的，如果数据包到达您的服务器，攻击已经成功，大部分。许多企业将从一家公司购买DDOS保护，该公司将在到达您的贵重管道之前为您丢弃此类数据包。

一个这样的公司和服务如何运作，非常广泛。https://www.cloudflare.com/overview

这是显而易见的，但如果您是配置丢包的人，那么包将在您配置要丢弃的任何位置丢弃。如果服务器有基于主机的防火墙，则通常有许多选项，例如网关路由器、防火墙、负载均衡器或服务器。

如果它们被丢弃在我的服务器上，这有什么帮助，因为数据包已经到达，因此占用了带宽。还是说丢包只是一种避免发送应答的技术，因此攻击者必须等待超时？

两点都是正确的--如果攻击纯粹是以带宽为目标，而且攻击者比您拥有更多的带宽，那么在服务器上丢弃数据包是徒劳的。这种攻击只能从比您的ISP或CDN (例如Cloudflare)具有更多带宽的上游位置缓解。然而，并非所有攻击都以带宽为目标；一些目标服务器处理能力或内存--在这种情况下，在服务器上或服务器附近丢弃数据包--可能会有很大帮助。

DDoS攻击的目的是降低服务(无论是网络还是DNS，就像最近发生在10月21日对DYN的攻击那样)。

因此，保护自己免受DDoS攻击的主要任务是：

• 标识攻击，意味着识别攻击数据包并将其与真正的通信隔离开来。
• 将攻击流量降到适当的级别(或位置)

如果它们被丢弃在我的服务器上，这有什么帮助，因为数据包已经到达，因此占用了带宽。还是说丢包只是一种避免发送应答的技术，因此攻击者必须等待超时？

放置攻击流量的位置取决于各种参数，如：

• 你有多少带宽？DDoS流量是否阻塞了您的网络？如果是这样的话，那么你必须得到你的ISP的帮助，以阻止攻击流量在他们的水平，并阻止它到达你。如果您的ISP不提供此解决方案或您希望从专家那里获得此解决方案，那么许多其他公司正在提供这些解决方案。
• 足够的带宽，但是服务器因为DDoS 而窒息--如果是这样的话，那么您可能也会减少网络中的流量。