黑洞路由

1. 有一种解决方案几乎适用于所有网络管理员：创建黑洞路由，并将流量汇入该路由。在最简单的形式下，当在没有特定限制条件的情况下实施黑洞过滤时，合法网络流量和恶意网络流量都将路由到空路由或黑洞，并从网络中丢弃。
2. 如果互联网设备遭受 DDoS 攻击，则该设备的互联网服务提供商（ISP）可能会将站点的所有流量发送到黑洞中作为防御。这不是理想的解决方案，因为它相当于让攻击者达成预期的目标：使网络无法访问。

速率限制

1. 限制服务器在某个时间段接收的请求数量也是防护拒绝服务攻击的一种方法。
2. 虽然速率限制对于减缓 Web 爬虫窃取内容及防护暴力破解攻击很有帮助，但仅靠速率限制可能不足以有效应对复杂的 DDoS 攻击。

Web应用程序防火墙(WAF)

1. Web 应用程序防火墙（WAF） 是一种有效工具，有助于缓解第 7 层 DDoS 攻击。在互联网和源站之间部署 WAF 后，WAF 可以充当反向代理，保护目标服务器，防止其遭受特定类型的恶意流量入侵。
2. 通过基于一系列用于识别 DDoS 工具的规则过滤请求，可以阻止第 7 层攻击。有效的 WAF 的一个关键价值是能够快速实施自定义规则以应对攻击。了解 Cloudflare 的 WAF。
3. 标准防火墙在端口级别提供保护，而 WAF 在将请求转发到 Web 服务器之前确保请求是安全的。WAF 知道哪些类型的请求是合法的，哪些类型是非法的，因此能够丢弃恶意流量并防止应用层攻击。

Anycast 网络扩散

1. 此类缓解方法使用 Anycast 网络，将攻击流量分散至分布式服务器网络，直到网络吸收流量为止。
2. 这种方法就好比将湍急的河流引入若干独立的小水渠，将分布式攻击流量的影响分散到可以管理的程度，从而分散破坏力。
3. Anycast 网络在缓解 DDoS 攻击方面的可靠性取决于攻击规模及网络规模和效率。采用 Anycast 分布式网络是 Cloudflare 实施 DDoS防护策略的一个重要组成部分。
4. Cloudflare 拥有 121 Tbps 的网络，比有记录的最大 DDoS 攻击大一个数量级。
5. 如果您目前恰好受到攻击，可以采取一些措施摆脱压力。如果已使用 Cloudflare，则可按照以下步骤缓解攻击。
6. 我们在 Cloudflare 实施多方位 DDoS 保护，从而缓解可能采用的大量攻击手段。了解有关 Cloudflare DDoS 防护及其工作原理的更多信息。

内容交付网络CDN

1. CDN 是一个分布式服务器网络，可以帮助用户更快速、更可靠地访问在线服务。
2. 通过使用 CDN，用户的请求不会一直传回服务的源服务器。相反，系统会将它们路由到地理位置较近的 CDN 服务器来交付内容。
3. CDN 可以通过提高服务的整体流量容量来帮助防御 DDoS 攻击。如果 CDN 服务器因 DDoS 攻击而瘫痪，用户流量可以路由到网络中其他可用的服务器资源。

安全信息和事件管理SIEM

1. SIEM 系统提供一系列功能，用于在生命周期的早期检测 DDoS 攻击和其他网络攻击，包括日志管理和网络洞察。
2. SIEM目标是对本地和基于云的安全工具生成的安全数据进行集中式管理。
3. SIEM 可以监控连接的设备和应用程序是否存在安全事件和异常行为，例如过多的 ping 或非法连接请求。然后，SIEM 会标记这些异常，以便网络安全团队采取适当的措施。

检测和响应技术

1. 端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 解决方案均使用高级分析和 AI 来监控网络基础设施的受感染指标（例如可能指示存在 DDoS 攻击的异常流量模式）以及实时响应正在进行的攻击的自动化功能（例如终止可疑的网络连接），如威胁情报服务。

参考：https://developer.ibm.com/