近年來，大量由僵尸網絡驅動的DDoS利用了成千上萬的被感染的物聯網，通過向受害者網站發起大量的流量為手段，最終造成嚴重后果。常年以來的頑疾DDoS似乎難抵抗，那到底是否存在一些有效的遏制方法呢? 

Gartner預計，到2020年全球將有超過200億的物聯網設備產生聯接，并且日均還會有約550萬臺設備加入到網絡環境，屆時有超過半數的商業系統內置物聯網組件。對此，傳統的桌面安全和本地防火墻是難以抵御新型網絡威脅的，黑客只需要截獲某一個連接工具就能切入到設備端。

越來越多的物聯網設備正淪為DDoS的盤中餐，隱私逐漸成為網絡交互的重要組成部分，在勒索軟件和各種流氓軟件隨處可見的今天，很多手段卻變得難以被探測，因此物聯網的加密措施至關重要。

考慮到物聯網的設備形態和功能千奇百怪，從終端、無線接入、網關，再到云平臺，涉及的環節眾多，要知道不少設備使用的操作系統也是不統一的，不是定制的就是非標準的，無形中為運維人員增加了負擔。

一些支持物聯網的對象擁有動態特性，例如汽車和車輛，或其他控制關鍵系統的設備。賽門鐵克預計，針對控制關鍵基礎設施的物聯網設備的數量將不斷增加，如配電與通信網絡。

隨著更多的員工以個人為單位使用智能音箱、穿戴設備、智能家居等產品，安全風險的入口也越來越多，而且像工業類企業用到的傳感器也越來越細分，包括具有WiFi功能的恒溫器控制的采暖通風和HVAC系統等等，這些傳感器在接入核心網的時候很可能沒有經過IT運維團隊的授權。一項調查顯示，大多數企業并沒有覺察到物聯網或工業物聯網的無線網絡，與企業基礎設施是分離的。

當然，敲詐勒索對DDoS世界來說并不陌生，但要看看黑客是如何利用敲詐勒索的也很有意思。早期的勒索程序像DD4BC，會發送不知名的電子郵件，包括支付信息，日期和截止日期，如果受害者合作不能令人滿意，就可能會遭殃了。

像DDoS世界中的Memcached，黑客廣泛而迅速地采用了各種規模的跨組織和行業威脅，并且不久就能想出將威脅轉化為商機的方法。

另一個趨勢是，2019年，越來越多的黑客將試圖訪問家庭路由器與其他物聯網中心，以捕獲經過這些路由器或中心的數據。例如，非法進入這些路由器中的惡意軟件可以竊取銀行憑證、捕獲信用卡號或向用戶顯示用于盜取敏感信息的虛假惡意網頁。也就是說，黑客通過新的方式利用家庭Wi-Fi路由器，以及其他安全性較差的物聯網設備來進行威脅。

由此，引伸出來的重要問題是，到底怎樣才能有效抵御或者說有效遏制DDoS呢?首先，用戶要去嘗試了解威脅來自于何處，原因是黑客所調用的IP地址并不一定是真實的，一旦掌握了真實的地址段，可以找到相應的碼段進行隔離，或者臨時過濾。同時，如果連接核心網的端口數量有限，也可以將端口進行屏蔽。

相較被威脅之后的疲于應對，有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網絡基礎設施，但這種辦法只能拖延黑客的進度，并不能解決問題。與之相比的話，還不如去“屏蔽”那些區域性或者說臨時性的地址段，減少受風險面。

此外，還可以在骨干網、核心網的節點設置防護墻，可以讓主機減少被直接威脅的可能?？紤]到核心節點的帶寬通常較高，容易成為黑客重點“關照”的位置，所以定期掃描現有的主節點，發現可能導致風險的漏洞，就變得非常重要。

根據此前與從安全廠商了解到的消息，多層防護DDoS的方法仍然適用。例如，駐地端防護設備必須24小時全天候主動偵測各類型DDoS，包括流量、狀態耗盡與應用層;為了避免出現上述防火墻等設備存在的弊端，用戶應該選擇無狀態表架構的防護設備利用云平臺、大數據分析，積累并迅速察覺特征碼，建立指紋知識庫，以協助企業及時偵測并阻擋惡意流量。

像以上的抵御方法還有一些， 如 限制SYN/ICMP流量、過濾所有RFC1918 IP地址等等，但歸根結底，還是要從根源上進行有效遏制，不要等出了問題再去想辦法，這也是DDoS不絕于耳”的原因。