有些类型的 DDOS 攻击不使用源欺骗，因此 BCP38 无济于事。例如，当前针对 Dyn、OVH 等的基于 IoT 的 DDOS 攻击根本没有使用源欺骗。此外，通过使用Slashdot 效应的 DDOS也不会使用欺骗地址。

相反，欺骗地址主要用于放大攻击，这只是 DDOS 的技术之一。

DDoS 攻击有多种类型（或实现方法），例如 -

• ICMP 洪水
• 点对点攻击
• SYN 洪水
• DNS 放大攻击
• 还有很多

某些类型的攻击可能通过源 IP 地址的欺骗（如 DNS 放大、Syn 泛洪、ICMP 泛洪等）进行。可以通过 UDP 协议实现的攻击可以通过欺骗来实现，而对于需要完成 TCP 3 次握手的攻击，则不能通过欺骗来实现。

我的问题是：是否足以防止大规模 DDOS 攻击？

BCP 38 只能阻止欺骗攻击。它不能保护受害者免受基于 TCP 的攻击。对 Dyn 的 DDoS 攻击（10 月 21 日）是通过物联网设备完成的，这不是欺骗类型的攻击。

简而言之，如果 BCP38 在全球所有 ISP 中实施，那么针对受害者的 DDoS 攻击将不容易发动。

PS -- BCP38 在我的组织中实施（我为我国最大的 ISP 之一工作）。