解決DDoS問題，有人認為很容易，只需要讓ISP(互聯網服務商)重寫互聯網即可。重寫互聯網標準，尤其是處于路由系統核心位置的邊界網關協議(BGP)，應得到妥善修訂。

BGP真心是個非常糟糕的東西，歐洲網絡與信息安全局(ENISA)將稱之為“互聯網的阿克流斯之踵”。理想世界里，這個東西必須被重寫。但現實世界中，情況就復雜了。

除了要讓政府監管機構幫助重寫互聯網路由層這種可怕的想法，這還像是試圖完全重建一艘豪華游輪一樣匪夷所思。僅僅是因為游輪服役已久，艙門有點關不嚴實了就要拆了重建是不合理的。這是艘大船，正航行在海洋上，人們都還生活在里面。

無論如何，ISP已經讓各種標準幫助阻擋了至少一類DDoS，而且這玩意兒存在16年了。他們所要做的，就是實現和完善它。

反射問題

盡管有很多子類，DDoS攻擊可被分為2大類。第一類是直接攻擊，設備直接對目標發起流量洪水。

第二類是反射攻擊。攻擊者通過使用貌似目標的地址，向另一臺設備發送數據包，來冒充目標。然后收到數據包的設備就會試圖聯系目標，實現DDoS攻擊并將真正的目標踢掉線。

攻擊者將IP包頭的源地址字段替換成受害目標的地址，玩弄反射設備，讓反射設備不知不覺就成了DDoS攻擊的幫兇。這有點像是冒用別人的身份發送信件。其中關鍵在于放大：這取決于所發數據包的類型，發給目標的響應包可能大上一個數量級。

路由安全相互商定規范(MANRS)解釋稱：通過確認源地址和使用能阻止錯誤源IP地址數據包進出網絡的反欺騙過濾，ISP可以有效防止第二類DDoS攻擊。這是一部分網絡運營者提出的宣言，他們希望通過向服務提供商提交最佳實踐，來讓路由層更加安全。

返回發送者

BCP 38，這個2000年就已出現的標準可以做到這一點。在網絡邊界設備上實現后，它可以檢查入站數據包是否含有客戶認可的源IP地址(比如，在恰當的IP段內)。如果不包含正確的源IP地址，數據包即被丟棄。很簡單的標準，值得在自身環境中實現。如果所有運營者都實現了這一簡單的最佳實踐，反射和放大型DDoS攻擊將得到大幅減少。

還有其他東西可供ISP阻住這些攻擊，比如響應速率限制。權威DNS服務器常被用作反射式攻擊中蠢笨且易上當幫兇，因為它們發給受害目標的流量比攻擊者發送的還多。這些DNS的運營者，就可以用BIND軟件默認自帶的一項機制，來限制響應數量。這項機制可以通過檢測入站流量的模式，來限制響應，避免對目標造成洪泛攻擊。

ping聯網(Internet of Ping)

ping包橫行的問題亟待解決，因為此類風險正在上升。物聯網的出現，讓攻擊者大把撈取網絡攝像頭和硬盤錄像機(DVR)這種“啞設備”，并將它們指向中意的任何目標。這是一個“ping聯網”的世界。

我們正處在用“憤怒的烤面包機軍隊”（指物聯網設備）就能搞攤互聯網的時代。鑒于物聯網IP地址范圍的廣大，ISP想要檢測和解決這一問題將更加困難。

10月的DNS提供商Dyn遭ping洪水攻擊致主流網站掉線的事件，就是物聯網ping洪水的真實例證。上千萬IP地址發送ping包，而這還只是攻擊者的預演熱身，正戲會造成何種程度的網絡災難難以想象。

安全大師布魯斯·施奈爾已經報告過有人正在試圖撼動互聯網的大門。“我們能對此做什么呢？什么都做不了，真的。”

好吧，還是能做點兒什么的。我們可以懇求ISP們聯合起來，開始實現一些預防性技術。我們還可以鼓勵物聯網廠商們強化物聯網設備的安全性。

“恰當的代碼簽名”什么的可以暫時放下，先從不使用默認登錄憑證做起吧。看到Mirai這種沒什么技術含量的惡意軟件僅使用預置的用戶名/口令列表，就拿下了半個Web，這其中必然有什么東西出了問題。

我們該怎樣勸服物聯網廠商做得更好呢？或許來點兒政府監管比較合適。實際上，有組織已經開始在這兩方面做出努力了。

不幸的是，國家、行業政策的制訂和實施會非常緩慢，而DDoS數據包則快如閃電。但是，難道不應該是號稱“網絡看門人”的互聯網服務商自己站出來主動來解決這個問題嗎？