DDoS（分布式拒绝服务）攻击是无解的吗？

首先明确回答题主的问题，DDoS攻击并不是无解的。

不过防御还是比较困难的，主要原因是由于这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS 攻击。DDoS攻击就像是一场暴雨引发的洪水，面对这种威胁，不能只靠加固大堤修建拦水坝，面对花样翻新DDoS威胁，应对威胁不能仅仅依靠一招一式就想打遍天下，而是一个系统工程。

就如许多答主都提到的，守城需要成本，那么攻城一样需要成本。如果能抗住攻击，直到攻击者再无力发动进攻，防御也算成功了。不过，这只是一种“缓解”疗法，而不是一种“治愈”方案。

回答完题主的问题，我继续说，面对DDoS的攻击，我们到底如何去防御？其实仅需记住这八个字，综合措施，多层防御，是可以防御DDoS攻击。

事前预防：加强每个网络用户的安全意识，安装杀毒软件。

具体的操作有：

（1）确保服务器的系统文件是最新的版本，并及时更新系统补丁。

（2）关闭不必要的服务。

（3）限制同时打开的SYN半连接数目。

（4）缩短SYN半连接的TimeOut 时间。

（5）正确设置防火墙。

（6）认真检查网络设备和主机/服务器系统的日志。

（7）限制在防火墙外与网络文件共享。

不过即便是这样纵深交错的防御体系，但仍有它的局限，比如说以下三个防御方案：

（1）CDN

这种方式的局限在于，运用转进方式闪避D D o S侵袭，对于静态网页极具保护功效，但对于需要与后台实时联机撮合的动态网页，则相对不适用；因为在与后台主机的通信中，难以避免的混入恶意流量。此外，金融联机服务涉及SSL加密，无法交于第三方。CDN业者仅能协助提供HTTP或HTTPS等相关服务，面对以直接以真实IP为目标的攻击爱莫能助。

（2）流量清洗

区域性电信运营商，由于无法主动侦测应用层攻击或状态耗损攻击，再加上即使勉可强过滤攻击流量，但因容量有限，只要容量用尽便无法执行清洗。而国际流量清洗中心存在的延迟难以避免，用户把流量导向清洗中心的过程，需历经通报时间、路由收敛时间，及清洗中心启动过滤的时间，合计形成约0.5～1个小时空窗期，迫使用户必须中断服务。

（3）防火墙

由防火墙、入侵防御系统(I P S)、网页应用程序防火墙(W A F)或广域网负载均衡器(WANLinkLoadBalancer)等设备供货商利用既有产品基础，增添D D o S防护的附加功能。

没有绝对的攻击，也没有绝对的防御，所以说，防御DDoS攻击目前来说还是有一定的难度，目前来说最终还是有钱来解决问题的。对于安全行业从业者来说，任重道远。