网关防范是借助专门技术和设备在网关上抵御 DDOS 攻击。其主要采用的技术包括 SynCookie 方法、基于 IP 访问记录的 HIP 方法、客户计算瓶颈方法等。

SynCookie 方法：在建立 TCP 连接时，要求客户端响应一个数字回执以证明自身真实性。此方法解决了目标计算机系统半开连接队列的有限资源问题，成为当前被广泛采用的 DDOS 防范方法，新的 SCTP 协议和 DCCP 协议也运用了类似技术。然而，SynCookie 方法存在局限性，对于建立连接的每个握手包，都需回应一个响应包，产生 1:1 的响应流，这会使攻击流倍增，严重浪费带宽资源。而且，当分布式拒绝服务攻击的发起者采用随机源地址时，SynCookie 方法产生的回应流目标地址极为分散，可能导致目标计算机系统及其周边路由设备的路由缓冲资源耗尽，形成新的被攻击点，实际网络对抗中已出现过真实的路由雪崩事件。

HIP 方法：运用行为统计方法区分攻击包和正常包，为所有访问 IP 建立信任级别。当 DDOS 攻击发生时，信任级别高的 IP 享有优先访问权，有效解决了识别问题。

客户计算瓶颈方法：将访问时的资源瓶颈从服务器端转移至客户端，显著提升分布式拒绝服务攻击的代价，如资源访问定价方法。但该方法协议复杂，需要对现有操作系统和网络结构进行大幅变动，在很大程度上影响了其可操作性。

综上所述，网关防范 DDOS 技术能够有效缓解攻击压力，适合被攻击者进行自身防护。

基于骨干路由的防范方法主要有 pushback 和 SIFF 方法。不过，骨干路由器通常由电信运营商管理，难以按照用户要求进行调整。此外，骨干路由负载过大，其上的认证和授权问题难以解决，很难成为有效的独立解决方案。因此，基于骨干路由的方法一般作为辅助性的追踪方案，与其他方法配合进行防范。

基于路由器的 ACL 和限流是较为有效的防范措施，比如对特征攻击包进行访问限制，一旦发现攻击者 IP 的包就予以丢弃；或者对异常流量进行限制等。也可打开 Intercept 模式，让路由器代替服务器响应 Syn 包，并代表客户机建立与服务器的连接。这类似一种 SynProxy 技术，当两个连接都成功建立后，路由器再将两个连接透明合并。

DDOS 攻击发展迅猛，为增强攻击威力，现已采用多种新攻击技术，如伪造数据以消除攻击包特征、综合利用协议缺陷和系统处理缺陷、使用多种攻击包混合攻击、采用攻击包预产生法提高攻击速率。目前已有的攻击工具在单点情况下每秒能发起 6 - 7 万个攻击包，足以堵塞一个百兆带宽的大中型网站。

DDOS 防范技术主要朝着攻击追踪、网关防范方向发展。利用 ICMP 数据包追踪，或是 Burch 和 Cheswick 提出的通过标志数据包来追踪的方法，都是当前的研究热点。在骨干网上进行攻击追踪研究的目标是，在攻击者刚发起攻击时就能定位攻击源，从而阻止攻击扩散并减轻目标损失。而网关 DDOS 防范技术将是未来产品发展的重点，有望成为各类网站的 DDoS 防护盾牌。目前的研究热点同样是利用行为统计等方法区分攻击包，例如方正黑鲨采用的 CIP 技术等。随着技术的发展，网关 DDOS 防范产品将得到广泛应用。