經(jīng)常有一些網(wǎng)站在各家公有云廠商上遭遇DDoS(分布式拒絕服務(wù)攻擊)后被公有云限制服務(wù)的無奈現(xiàn)狀。我怎么說也混跡多年的老站長，對于DDoS攻擊是非常了解的，幫助過不少網(wǎng)站做過安全防御，基本都是可以滿意解決，所以今天我們來為大家講解下遇到遇到 DDoS 怎么辦？

1、誤解

先講一個普遍的誤解。近年來DDoS攻擊越來越頻繁，攻擊流量越來越大，有很多人誤以為是因為黑客掌握了越來越多的帶寬資源可以發(fā)動越來越猛烈的攻擊。實際上黑客掌握的攻擊流量未必上升了，更可能的是越來越多的黑客掌握了反射式DDoS攻擊的能力。

反射式的攻擊形式可以這么理解：

有黑客偽裝成你的樣子，朝黑猩猩扔了一塊石頭，黑猩猩扭頭一看，好哇你敢扔我石頭，我砸死你，從地上檢了十幾塊磚頭都吵你丟過來。

丟一塊石頭給黑猩猩它會丟回來多少塊石頭呢？這里有個表。

（圖片來自此文，也推薦感興趣的讀者閱讀）

比如2015年8月25號，賣桃君還在錘子的時候，錘子有一次發(fā)布會遭遇了DDos攻擊，攻擊形式其實就是表中放大倍數(shù)最大的NTP反射式攻擊。

但是根據(jù)2016年黑帽大會展示的新研究，攻擊者正在改變DDoS DNS放大攻擊戰(zhàn)略 ，放棄NTP而采用其他形式，尤其是SSDP，原因可能是大量被利用的NTP服務(wù)器都做了修復(fù)，難以被利用了。

也就是說，看起來你遭遇了幾十上百G的DDoS攻擊流量，十有八九攻擊你的黑客其實只使用了幾個G的流量。

2、反射式攻擊的局限性

從上面的介紹中我們可以看到，黑客如果要對你發(fā)起非常大流量的DDoS攻擊，就不得不依賴哪些能夠?qū)嵤┓瓷涫焦舻膮f(xié)議。好消息是，這些協(xié)議中并不包含我們最常用的HTTP這樣的網(wǎng)絡(luò)服務(wù)協(xié)議。

因為采用了這些協(xié)議，黑客也就無法對一個“域名”去發(fā)起大流量的反射式攻擊，而只能對一個具體的IP地址去發(fā)起攻擊。

3、對抗

對抗這樣的攻擊形式，最重要的一點就是：

服務(wù)器的真實IP不要暴露出去，甚至于負(fù)載均衡的IP也不要暴露出去。

沒事不要留一個靶子在外面給黑客沒事打著玩，把源服務(wù)器IP暴露出來就等于是家里平時不關(guān)門，小偷想進(jìn)就進(jìn)想出就出。

那怎么把自己的服務(wù)器甚至于負(fù)載均衡的ip藏起來不讓黑客知道，又能夠繼續(xù)提供服務(wù)呢？主機(jī)吧認(rèn)為最有效的對抗套路就是：

使用高防IP或者高防CDN

高防IP是指網(wǎng)站業(yè)務(wù)通過高防IP轉(zhuǎn)發(fā)內(nèi)容，達(dá)到隱藏源服務(wù)器IP的目的，而高防IP本身具體超強(qiáng)的防護(hù)能力，可以起到替身防御的作用。

高防CDN則是由多個高防IP節(jié)點組成的，集成加速、防御的節(jié)點集群，具體隱藏源服務(wù)器IP的作用，而黑客不知道源服務(wù)器IP只能打CDN節(jié)點，而CDN具體多個節(jié)點組成，想要徹底癱瘓業(yè)務(wù)就需要對所有節(jié)點進(jìn)行打擊，這樣無形中增加了攻擊成本，這也是目前防御DDoS攻擊最有效的方法。

4、代價

高防IP由于其防御業(yè)務(wù)的全面性，價格是相當(dāng)昂貴的，以阿里云高防IP為例，保底20G峰值的高防IP價格就達(dá)到2萬+人民幣，而高防CDN價格也貴，保底10G峰值的高防CDN，價格3000元/月，這還只是防御成本，外加CDN流量成本價格更高。當(dāng)然，阿里云的防護(hù)成本一直都是業(yè)界最高的，我們可以選一些性價比高的，比如百度云加速CDN，最便宜的套餐專業(yè)版代理價1180元/年，可以防御峰值10G，正常流量每天100G，而最高套餐30G，年付1.2萬。這樣一看百度云加速的價格是非常香的，有需要的可以聯(lián)系主機(jī)吧購買。

5、局限性

無論是CDN還是高防IP，防御的手段都是通過隱藏了服務(wù)器真實IP，能夠使針對IP的DDoS攻擊手段失去了攻擊的靶子，不但包括了上面提到的反射式攻擊手段，也包括更多傳統(tǒng)的針對IP的攻擊手段。而一但之前已經(jīng)暴露了的IP是沒辦法防御的，這個時候我們只能更換服務(wù)器IP了。另外針對于一些非網(wǎng)站業(yè)務(wù)，高防CDN是沒辦法防御的，因為高防CDN是通過域名防御的，而對于一些以IP為訪問端的則需要用到高防IP。

6、安全的本質(zhì)

很多人認(rèn)為安全就是“無懈可擊”，總是試圖追求最高級別的安全。如果是非常大的機(jī)構(gòu)，極其注重安全的產(chǎn)品，按照這個思路去做安全并不是不可以，比如直接采購專業(yè)的安全產(chǎn)品。

但是在我看來，這是一個“保衛(wèi)者視角”看待問題的方式。沒有嘗試從攻擊者的視角去完整的看待攻防的雙方。攻擊者的很多信息其實我們現(xiàn)在是有所了解的，他們的很多軟肋我們也知道，所以無條件的死守有時不一定是最高效的。

在我看來，安全的實質(zhì)就是降低保護(hù)者的成本，提升攻擊者的成本，讓攻擊變得更加困難、更貴，讓攻擊獲益更低，直到跨越某一個平衡點，攻擊的成本高于攻擊能獲得收益。比如說，我們把原本非常便宜的反射式DDoS攻擊、同步洪水攻擊的門檻抬高到貴了幾十倍的非反射式的DDoS攻擊、CC攻擊。如果你只是一個小網(wǎng)站，黑客花那么高的成本來攻擊你真的值得嗎？

畢竟，殺頭的生意有人做，賠本的生意沒人做。