ddos攻擊成本持續走低？

的確，以前覺得DDoS離我們很遠，現在卻覺得DDoS離我們很近。特別是站長朋友們，或多或少都遇到過DDoS攻擊。

DDoS攻擊是分布式拒絕服務攻擊，說得通俗易懂點，就是黑客將不計其數的計算機集中起來發號施令向被攻擊站點發起請求。因為服務器都是有性能上限的，這些DDoS過來的請求本質上也是一種合理的請求（只不過短時間內的請求量過大，超出服務器的處理能力），被攻擊服務器資源占滿了也就使得其它合法用戶無法得到服務器的響應，而且DDoS攻擊種類很多。

因為DDoS的這一特點，使得DDoS的防范起來是很難的，因為我們說DDoS請求本質上也是合法的請求。而且因為某些因素使得現在發起DDoS攻擊的成本很低，花很少的錢就能借助某些渠道和手段對某一目標發起攻擊。DDoS攻擊者的目的無非就是以下幾種：

黑客的“成就感”：黑客的目的就是破壞計算機系統的穩定，同時也是為了證明自己能力的一種方式，覺得自己可以控制某個系統運行的正常與否，很有“成就感”。

不良競爭：如果兩個平臺是競爭對手關系，不排除有不良競爭，所以DDoS攻擊也是一種手段。

說到這么多，那對于一般企業或個人，我們該如何盡可能避免被DDoS攻擊呢？方案其實也有很多，以下列舉一些供大家參考：

1、隱藏服務器真實IP

隱藏服務器真實IP是為了減少服務器在網絡上被發現的可能，鑒于大多數攻擊是沒有目標性的攻擊，黑客在攻擊前會通過掃描的方式來發現服務器IP。如果我們在這上面做一些處理，可以減少服務器被黑客發現的可能。這里常用手段有以下幾種：

使用CDN加速服務來隱藏源站服務器IP：使用CDN后，別人訪問到的其實是CDN節點，這樣源站IP變相被隱藏起來了。而且CDN本身就是分布式的，而且CDN廠商也都有硬防，這樣極大的減少了DDoS對源站產生的風險。

禁用服務器ICMP響應：禁用ICMP響應可以防止服務器被Ping通，可以過濾掉一批小黑客。

2、關閉服務器上不少要的服務及端口

不少黑客在對網絡上的計算機進行掃描時，也會通過一些特點端口進行掃描，比如掃描3389端口、22端口等。端口就相當于是你家的窗戶，窗戶太多，控制起來就難，難免有小偷從某個窗口進去了。

3、限制SYN半連接數目

我們通過技術手段縮短SYN半連接的timeout超時時間，限制SYN/ICMP流量也是一種常用手段。

4、DNS智能解析

DNS解析也容易被人忽略，但要知道很多的攻擊也是針對DNS的，如果DNS受到攻擊，網站解析就無法正常進行，影響業務訪問。

5、IP過濾

如果DDoS流量集中的來自于某一國家，我們可以將此國家的IP段封禁。

6、負載均衡及緩存的合理使用

我們說DDoS攻擊請求也是正常合法請求，只不過請求的量超過了服務器的服務能力，那我們可以提升服務器的處理能力，負載均衡和緩存的合理使用就可以做到，集群的響應能力比單一服務器的響應能力要好得多。

7、高防IP和硬防部署

主防IP和硬防部署對于一般中小型企業而言，價格上很貴，所以用得少。但如果真的是核心業務受到了DDoS攻擊，而且持續時間很長，可以考慮聯系機房臨時加上高防IP和硬防，單獨付費即可。

對于已經“上云”的客戶，可以動態升級帶寬。

8、域名解析至127.0.0.1

我們都知道，127.0.0.1代表的是客戶端本地的IP，如果別人訪問一個域名，而這域名解析的IP是127.0.0.1，那它訪問的是它自己的本機。

所以說如果DDoS攻擊來襲時，我們把域名解析至127.0.0.1，那是不是以其人之道,還治其人之身啦？

以上就是我的觀點，對于這個問題大家是怎么看待的呢？歡迎在下方評論區交流 ~ 我是科技領域創作者，十年互聯網從業經驗，歡迎關注我了解更多科技知識！