在安全圈里，DDoS可謂家喻戶曉。從DDoS誕生開始，無數網絡安全工程師就對它深惡痛絕，像Google、亞馬遜等技術實力強勁的巨頭公司，也無法避免遭受DDoS攻擊。

[[429665]]

可以這么說，DDoS是目前最強大、最難防御的攻擊之一，屬于世界級難題，沒有解決辦法，只能緩解。

我們不禁好奇，為什么DDoS攻擊是無解的?是技術水平不夠，還是其他什么原因?

無解的DDoS

DDoS的原理其實不復雜，就是利用大量肉雞，仿照真實用戶行為，使目標服務器資源消耗殆盡，最終無法為用戶提供服務。

就好像一家火鍋店來了一群地痞流氓，光占座不叫餐，導致正常顧客沒座位，點不了餐，火鍋店無法正常開店。

[[429666]]

我們舉一個例子，就可以了解為什么DDoS無法解決。

CC攻擊是DDoS的一種類型，攻擊者會借助代理服務器生成受害主機的合法請求。

相信大家都有過這樣的經歷，當某一個網站或者app在做秒殺、限時活動、搶購活動時，訪問量突增，導致頁面打開速度變慢，如果人數超出服務器負載，頁面可能就完全打不開了。

攻擊者發(fā)動CC攻擊的結果，與上面的例子一模一樣。對于防御方來說，很難分辨誰是真實用戶，誰是攻擊者的肉雞，敵人是誰都不知道，更別說發(fā)起進攻了。

成本是硬傷

雖然無法解決DDoS攻擊，但可以采用一些技術手段，來緩解或者提高攻擊的門檻。

防御方的成本主要來自購買DDoS云清洗、高防CDN等云防護產品、采用的技術手段支出的人工成本、購買硬件設備的成本等等。

同樣，攻擊者發(fā)動DDoS攻擊，也需要付出相應的成本，比如時間成本、購買肉雞的成本、購買0day及其他漏洞的成本、編寫或購買DDoS程序的成本、甚至還可能是委托第三方發(fā)動DDoS所需要的費用等等。

[[429667]]

防御者的防御做的越完善，所付出的成本也越高。同理，攻擊者想發(fā)動更大規(guī)模的攻擊，成本也越高。

如果攻擊者想發(fā)動攻擊的成本，高于攻擊帶來的收益，那么DDoS就不會發(fā)。反之，如果成本合適，那么攻擊者就會發(fā)動攻擊，享受攻擊帶來的收益。

緩解DDoS

DDoS攻擊雖然無解，但卻可以采用多種手段緩解和預防，或打消攻擊者發(fā)動DDoS的意圖，或使攻擊者的預計收益下降“入不敷出。”

常用的手段有以下幾種：

(1) 使用高性能網絡設備

確保路由器、交換機、硬件防火墻等網絡設備的性能，當DDoS發(fā)生時，有足夠的性能、容量去對抗它。

(2) 定期排查服務器系統(tǒng)漏洞

采用最新的系統(tǒng)，及時打上安全補丁，并在刪除未使用的服務，關閉未使用的端口，降低黑客利用漏洞發(fā)動DDoS的風險。

(3) 充足的網絡帶寬保證

網絡帶寬的大小，直接決定了抗受DDoS的能力，不過一般來說，其他技術手段和方式，比增加帶寬更有效，成本也更低。

(4) 部署CDN

CDN可以將網站的內容分發(fā)到多個服務器上，用戶就近訪問，不僅可以改善用戶體驗，而且還可以作為防御DDoS的一種補充手段。

(5) 使用專業(yè)的安全防護產品

專業(yè)的抗D產品，可以幫助網站過濾異常流量，即便DDoS正在進行中，公司的業(yè)務也可以正常開展不受影響。

后記

還是成本問題，DDoS并不一樣會發(fā)生，如果黑客有更好的手段達成癱瘓目標手段的話，就會使用更好的方式。

• 很多網站可能存在性能bug，幾個簡單的請求數據庫系統(tǒng)就會癱瘓;
• 很多系統(tǒng)會有網絡規(guī)劃、配置bug，可能幾個簡單的數據包就可以癱瘓整個網絡;
• 甚至是機房防范措施不嚴，或者存在漏洞，攻擊者直接溜進機房關閉電源，也會癱瘓公司整體業(yè)務。

能盛多少水，不取決于木桶最高的那塊板，而取決于最低的那塊板。網站、app是否安全，也是如此，我們除了要采用一些手段防御DDoS攻擊外，也應該關注其他方面的安全，做到全面防御。