危险的“我以为”DDoS&丑陋的现实

有些话题可能终其一生你也可以假装不知道就好了，比如全球气候在变暖，不过有些话题确是不得不面对的冰冷现实，在互联网日益发达的当下，比如你不得不面对的DDoS攻击。

DDoS代表了分布式拒绝服务，通过许多联网设备组成的僵尸网络并恶意淹没目标服务器或吞噬网络流量。DDoS攻击的最终目标是让目标脱机或甚至只是访问缓慢，最终无法使用。由此拒绝服务也变成了分布式拒绝服务攻击。

成功的DDoS攻击可能导致用户忠诚度减少，软硬件损坏或者侵犯知识产品或者机密数据，包括我们常见的用户以及财务信息。

DDoS迷思一：我站点辣么小，谁没事打我啊~

可以肯定的是，有的行业受到分布式拒绝服务攻击的风险确实比其他的行业要高出很多，比如网络游戏、软件即服务和金融行业等等。但在2016年更为实际的是，如果有网站，就可能成为目标。

DDoS可以雇佣获取已经是现在不得不面对的残酷现实。任何人都可以花点钱攻击目标网站，而且真心不贵。受攻击者要换取不被攻击，往往要付出不菲的DDoS赎金。小网站由于可能没有分布式拒绝服务保护，那就有可能成为攻击者捞一笔快钱的最有效途径。

DDoS迷思二：就算打我了也不会有多严重嘛~

第二点和第一点关系紧密，假如你认为你就是一个大池塘里面的小鱼，没有攻击者会用庞大的僵尸网络来攻击你。也许真能逃过一劫，但实际上也不需要发动太大的攻击来伤害你，小的就够了。

大规模分布式拒绝服务攻击往往会成为新闻头条。但小且集中并精心制作的攻击，像应用层HTTP洪水攻击暗中为害。特别是如果它不带有恶意流量陡增，一些安全解决方案可能还真解决不了。2015年的一项研究发现，93%的攻击小于1 Gbps。

DDoS迷思三：我有xx了，我很安全的~

“xx”要是填写了专业的抗DDoS解决方案的话，比如云端卫士，这话还说得通，如果不是，那就没准了。带宽大、基于互联网服务商的防护、牛B的路由器和IP黑名单都是常规认为的的分布式拒绝服务防护方法。但在多向量攻击的时代，一些防护措施并不能有效发挥作用。例如互联网防护可以识别出流量有问题，但是不能有效地处理，所有的带宽型处理方法都没发有效对抗狡猾的应用层攻击。

真正对抗DDoS攻击的解决方案需要多种方法，结合健壮的骨干网络，颗粒化流量检测方案来保护网络层、应用层以及协议攻击。

DDoS迷思四：停机不是什么大问题

这个话题涉及了两个部分。第一部分是错误地假设，用户认为无法访问你的网站没什么大不了的。但想想许多网站提供相同的内容、产品。如果你给某人一个理由放弃你的网站换成另一个网站，他们估计很乐意。

另一部分在于假定成功的DDoS攻击仅仅是一个网站的可用性问题。正如上面提到的，分布式拒绝服务攻击可以作为烟雾弹，主要目的是入侵系统，盗窃敏感信息。听起来你也可以无所谓，打不了损害你的声誉，但是DDoS攻击成功时,也已经成功证明你根本不保护你的用户。