DDoS攻击引起的网络拥塞，是由恶意主机控制大量傀儡机所造成的，并非传统意义上的端到端拥塞，所以只能在路由器上进行控制，即基于IP拥塞控制来实现的。而目前主流的七种IP拥塞控制算法都需要在改进后，才能有效地应用于防范DDoS攻击。

　　分布式拒绝服务DDoS(Distributed Denial of Service)攻击被认为是目前Internet所面临的最大威胁之一。

　　目前有一些常用的DDoS攻击防护机制和方法包括: 通过修改配置和协议预防攻击、反向查找攻击源头、攻击检测和过滤、分布式攻击检测和过滤(主机端/路由器端)等。

　　DDoS攻击与网络拥塞

　　网络产生拥塞的根本原因在于用户提供给网络的负载超过了网络的存储和处理能力，表现为无效数据包增加、报文时延增加与丢失、服务质量降低等。如果此时不能采取有效的检测和控制手段，就会导致拥塞逐渐加重，甚至造成系统崩溃，在一般情况下形成网络拥塞的三个直接原因是:

　　● 路由器存储空间不足。几个输入数据流需要同一个输出端口，如果入口速率之和大于出口速率，就会在这个端口上建立队列。如果没有足够的存储空间，数据包就会被丢弃，对突发数据流更是如此。增加存储空间在表面上似乎能解决这个矛盾，但根据Nagel的研究，如果路由器有无限存储量时，拥塞只会变得更坏。

　　● 带宽容量相对不足。直观地说，当数据总的输入带宽大于输出带宽时，在网络低速链路处就会形成带宽瓶颈，网络就会发生拥塞，相关证明可参考香农信息理论。

　　● 处理器处理能力较弱。如果路由器的CPU在执行排队缓存、更新路由表等操作时，处理速度跟不上高速链路，会产生拥塞。同理，低速链路对高速处理器也会产生拥塞。

　　以上是早期Internet网络发生拥塞的三个主要原因。对此，TCP拥塞控制给出了较好的解决方案。在实际应用中，如果所有的端用户均遵守或兼容TCP拥塞控制机制，网络的拥塞能得到很好的控制。但是，当DDoS攻击造成网络拥塞时，TCP基于窗口的拥塞控制机制对此无法加以解决。原因是攻击带来的拥塞是由大量恶意主机发送数据所造成的，这些主机不但不会完成TCP拥塞控制机制所规定的配合工作，甚至本身就可能包含了伪造源地址、加大数据发送量、增加连接数等攻击方式。在此情况下，对DDoS攻击所造成的网络拥塞就必须在路由器上进行处理，这只能是基于IP拥塞控制来实现的。

　　需要注意的是，DDoS攻击所造成的网络拥塞不同于上面所分析的普通情况，它们之间存在着本质差异。相比之下，DDoS攻击所造成的拥塞，其攻击数据常常在分组大小、到达时间、协议类型等诸多方面具有一定相关性，这是由分布式拒绝服务自身特点所决定的。而普通情况下的网络拥塞，其数据并非由多个受控攻击者发送，因而不具有类似的相关性。对攻击所造成的拥塞进行防护，就应首先找到这个相关性，在此基础上引入传统拥塞控制机制并加以完善，才能进行高效、准确的检测和控制工作。