问：DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?

　　答：不，DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击，相比没有DNSSec的情况，具有DNSSec的任何类型查询都会生成更显著的大量回复数据包，实施DNSSec 实际上意味着更易将攻击放大。

　　问：互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话，Spamhaus是如何看到300 Gbps的流量的?

　　答：虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度，但是多个100Gb/秒物理链路结合在一起，就可以形成大容量逻辑链路。

　　问：如何缓解这类攻击?

　　答：如果大部分服务提供商在网络边界执行了BCP 38/84，同时还大幅减少互联网上开放的DNS 解析器的数目，那么就可以减小攻击者的能力，从而降低此类较大攻击的风险。

　　我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表，黑/白名单，灵活僵尸去除，和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而，在应用这些机制时必须谨慎，因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下，这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。

　　问：其他公司可从此次攻击得到哪些教训?

　　答：目前的DDoS 威胁很复杂，由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击，保护服务可用性，企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案，以积极地处理隐秘、复杂的应用层威胁，还必须利用基于云的服务提供商提供DDoS 保护服务，以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统，从而使其免受DDoS 威胁的影响。