我們經(jīng)?？梢詮碾娪爸锌吹竭@樣的場景：你的小店位于一個僻靜的小街上，每天你都在快樂的經(jīng)營著自己的店鋪，為周圍的客戶提供服務(wù)。但是有一天出現(xiàn)了一伙流氓，為首的走到你的柜臺前朝你要保護費，這樣你才能繼續(xù)安穩(wěn)的在這里做生意而不遭遇到什么飛來橫禍。對于所有小店的經(jīng)營者來說，這種場景是自己最不愿意見到的，如果你生活在俄羅斯，可能已經(jīng)遇到過這種事兒了。而在西方國家，就算是安靜的小山村，如果出現(xiàn)了這樣的情況，店主也會馬上報警。不幸的是，在數(shù)字世界，所有網(wǎng)店的站長都像現(xiàn)實世界里的小店店主一樣擔(dān)心遭受黑客威脅，而數(shù)字世界的法律強制力卻比現(xiàn)實世界里蒼白無力的多，基本上無法阻止網(wǎng)絡(luò)上流氓對于網(wǎng)店的騷擾。幸好，作為網(wǎng)店店主，也可以通過一系列措施保護自己，確保自己的網(wǎng)絡(luò)商店不受威脅影響。

我們中的大多數(shù)人都知道什么是分布式拒絕服務(wù)攻擊(DDoS)，簡單地講，就是大量的訪問請求從成千上萬的被黑客控制的電腦中發(fā)送到黑客要攻擊的目標(biāo)網(wǎng)站或服務(wù)器，從而造成網(wǎng)站或服務(wù)器超負荷運轉(zhuǎn)，無法處理正常用戶的訪問請求。而大家可能不知道的是，這種攻擊發(fā)生的頻率。根據(jù)Trustwave2011年發(fā)布的報告顯示，與2010年相比，DDoS攻擊次數(shù)上升32%，而2012年的情況更糟。這主要是由于DDoS攻擊所需的工具越來越廉價而且在網(wǎng)上幾乎是唾手可得。只需要一點點資金，網(wǎng)絡(luò)流氓就可以租到一個規(guī)模龐大的僵尸網(wǎng)絡(luò)用來實施DDoS攻擊。而這種廉價攻擊所造成的損害卻是巨大的。更重要的是，這是網(wǎng)絡(luò)流氓們發(fā)財致富的最佳途徑。曾幾何時，DDoS攻擊還只是年輕人發(fā)泄不滿的手段，而現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)不法之徒在網(wǎng)上敲詐勒索的主要方法了，并且這種事件層出不窮。

網(wǎng)絡(luò)上的敲詐勒索其實很簡單。實施者首先應(yīng)該遠離美國或歐洲那些網(wǎng)絡(luò)法律相對嚴格的國家。然后他們會選擇目標(biāo)網(wǎng)站，一般是在某場大型賭局開盤前的賭博網(wǎng)站，或者是節(jié)日購物季即將到來的大型購物網(wǎng)站。

選擇目標(biāo)的關(guān)鍵點在于，目標(biāo)網(wǎng)站是通過在線經(jīng)營獲利的，他們必須需要客戶訪問網(wǎng)站才能獲得收益。選擇好勒索對象后，攻擊就開始了。在攻擊的數(shù)分鐘后，攻擊者會將勒索郵件發(fā)送給網(wǎng)店管理員。一般這種DDoS攻擊勒索都是由網(wǎng)絡(luò)犯罪組織發(fā)動的，他們的勒索金額也是根據(jù)目標(biāo)網(wǎng)店的規(guī)模來定的。一般來說，這種保護費都在幾千美金以上。直到店主繳納保護費后，DDoS攻擊才會停止，在這之前，店主只能看著網(wǎng)站流量達到帶寬極限卻沒有任何客戶。

可悲的是，目前很多網(wǎng)店都沒有能力抵御DDoS攻擊。更糟的是，如果你的網(wǎng)店是托管在一個二流托管機構(gòu)的，很可能在發(fā)生DDoS攻擊后，當(dāng)你向服務(wù)商尋求幫助時，他們所作的僅僅就是將你的主機網(wǎng)線拔掉，或者將你的網(wǎng)站關(guān)掉，然后將你從客戶名單里清除。因為并不是所有的主機都能應(yīng)付DDoS所帶來的巨大流量，為了不影響同一主機上的其它網(wǎng)站，托管商只能把成為DDoS攻擊目標(biāo)的網(wǎng)站舍棄。因此，很多網(wǎng)店店主最終屈服了。他們付給網(wǎng)絡(luò)流氓保護費，換取暫時的安寧。一般來說，網(wǎng)店都不會公開承認這種事，因此很難確切統(tǒng)計到底有多少受害網(wǎng)店向攻擊者付錢。而不幸的是，網(wǎng)店一旦向黑客支付了保護費，那么該網(wǎng)店將被黑客列入容易敲詐的一類，未來一旦黑客缺錢花，首先會招到這類網(wǎng)店繼續(xù)收取保護費。這就是為什么要在決定開設(shè)網(wǎng)店的時候就要想到DDoS預(yù)防措施。選擇好的主機托管商就是預(yù)防DDoS攻擊的關(guān)鍵一步。如今高級的DDoS攻擊可以產(chǎn)生50Gbps甚至更大的帶寬。而面對如此巨大的數(shù)據(jù)流量，你最直接的防護方法就是處于一個帶寬更大的服務(wù)器主機上。

這種級別的攻擊所帶來的危害可以分幾個層級。如果只是簡單的大量數(shù)據(jù)流，那么只是會將你的網(wǎng)絡(luò)帶寬塞滿，從而導(dǎo)致真正的用戶無法訪問網(wǎng)店。有些主機托管商可以讓你臨時選擇更高的帶寬。但是有時候DDoS采用的是畸形數(shù)據(jù)包，比如SYN 數(shù)據(jù)流，是在嘗試連接你的網(wǎng)站，然后保持半連接狀態(tài)。要抵御這種攻擊，就需要能夠檢測并丟棄此類數(shù)據(jù)包的網(wǎng)絡(luò)防火墻。但是面對真正大型的DDoS攻擊，以上這兩種方式還不夠。就算你花了大錢在托管商那里，一個數(shù)據(jù)中心也難以抵抗僵尸網(wǎng)絡(luò)超過10萬臺僵尸電腦同時發(fā)送的數(shù)據(jù)包。這就是為什么大型網(wǎng)站會采用內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)。目前網(wǎng)絡(luò)世界有幾個流行的 CDN，包括 Amazon Cloudfront, RackSpace, 以及 Akamai。在這種情況下，你的網(wǎng)站將不再是一個服務(wù)器構(gòu)成，而是由分布在世界各地的幾十甚至上百臺緩存服務(wù)器組成。因此，當(dāng)有人通過URL對你的網(wǎng)站進行DDoS攻擊時，僵尸網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)流會被自動重定向到距離僵尸電腦最近的數(shù)據(jù)中心。這種方式可以讓你的網(wǎng)站獲得更快的用戶訪問速度，同時也起到了預(yù)防DDoS攻擊的效果，因為攻擊流量被分流到了不同的目的地。

以往CDN都是大型企業(yè)專用的，而近兩年CDN的成本已經(jīng)大幅下降了。比如，如果你已經(jīng)購買了亞馬遜的AWS服務(wù)，那么不需要花太多錢就可以轉(zhuǎn)換到CloudFront。另一個有趣的服務(wù)是 CloudFlare. 就算你的網(wǎng)站是在一個服務(wù)器上，CloudFlare也可以將網(wǎng)站的靜態(tài)數(shù)據(jù)緩存到全球的服務(wù)器中，讓你的真實服務(wù)器處于多個緩存服務(wù)器之后，防止DDoS攻擊直接針對你的真實服務(wù)器。而且這個服務(wù)并不需要花錢，就可以讓你獲得DDoS保護能力。不久前，亞馬遜還發(fā)布了一份報告，介紹了他們?nèi)绾蔚钟艘黄饚掃_65Gbps的DDoS攻擊。總之，在以前，抵御DDoS攻擊是一件困難并且成本高昂的工作，而現(xiàn)在則要簡單和廉價的多。作為網(wǎng)店店主，如果你現(xiàn)在就開始著手準(zhǔn)備抵御此類攻擊，當(dāng)真正的攻擊來臨時，你就再也不必委曲求全了。記住，網(wǎng)絡(luò)攻擊可以針對網(wǎng)絡(luò)上的任何網(wǎng)站，而一旦向黑客屈服，你的網(wǎng)店將永無寧日。