看來CloudFlare也只能擋一陣子，不能擋一輩子。^^"

花錢可解決沒問題，是怕花錢該擋不擋，擋了不該擋的。

DDOS攻擊不見得都是合法的流量..

TCP SNY FLOOD 就是非法的流量，DNS FLOOD也是有非法的流量，防火牆本身就可以過濾這樣的資料，但是有時候某些狀況設備建立這樣的資料與處理需要一點時間，去判斷這封包是否為合法，是否要允許通過，這都加重了設備的負載。
既然稱為DDOS，就表示有一定的流量，而流量超過負載導致被攻擊端無法負荷，這就是DDOS主要攻擊的目的！然而同時需要愈多的演算與愈多種樣式的攻擊方式，對攻擊方來說成本愈高，但防守端的防禦成本也就愈高，也就是說，DDOS的攻擊概念其實與封包內容是否合法是沒有什麼相關聯的。

另外，『UTM』不是只能拿來擋『惡意的網路攻擊』，那是他的功能之一，擋『惡意的網路攻擊』是『UTM』中的『IPS』功能。

tcp_syn_flood或DNS_flood要如何判斷它是非法的流量??
無論是不是自動判別，在設的Threshold值以上的叫非法，
那在Threshold值以下放其通過的的就是合法的嗎?
事實上我們只能說DDoS的某些"行為意圖"是惡意的
卻沒法說清楚這些"網路通訊的運作"是非法
畢竟防火牆已經是"允許"這些網路通訊
更也沒法將Threshold值設為0，完全禁止
因此小小才說NGFW與UTM是無能力阻止它的
況且DDoS在第七層攻擊也未必需要有一定的流量就可以達到目的
近期的DDoS"攻擊"是多樣而複雜的，且成本未必會高。

相對於firewall的功能或IPS的功能，以運作方式來說
是以封閉掉那些我們不想開放的網路服務或網路行為
如果硬要進來我們可以擋掉，稱之"擋惡意的網路攻擊"
這與開放網路服務或通訊後，再限制"門檻"多少
是完全不同的兩個概念。

小小還是認為只要對於DDoS的防禦
NGFW或UTM是沒法發揮作用的
至少這兩項在被Gartner與IDC定義裡是完全沒提到DDoS的

我先舉一個Forti的例子
http://www.fortinet.com.tw/promo/promo-FortiDDos.html

FortiDDoS是採用100％硬體ASIC方式對抗DDoS攻擊的產品，進而減少了CPU或CPU/ASIC混合模式系統風險的唯一一家公司。第二代的FortiASIC-TP2晶片提供檢測所有Layer-3,Layer-4和Layer-7 DDoS攻擊流量以及清除的動作。

他是利用行為模式去判斷這些封包是否為非法的流量，如果是非法的流量，就將其阻擋。但就我目前使用FortiGate的感覺，好像真的DDOS的攻擊狀況沒有以前那麼嚴重。

不過，這些判斷都是需要利用硬體晶片去計算，畢竟他是採取行為模式判斷，即使是有硬體加速的方式只要遇到真的非常大量的攻擊還是撐不住，軟體運算就更不用說了。而且電腦比不上人腦....

我之前有蒐集過一些資料，有一些業者也是有類似的產品，不過我也是沒有實際去測試過其他業者的產品是什麼狀況。我還有聽過其他業者有更多不一樣的方案，但那些都是必須要硬體+業者的整體搭配，沒有聽過有在用單一軟體防火牆就可以阻擋DDOS的。

倒是有用一台NB、PC來對付DDOS的啦........