最近文章一直提到DDoS 防御方法，今天我們就來盤點(diǎn)下在DDoS防御過程中存在一些常見的錯誤方法和誤區(qū)：

錯誤 DDoS 防御策略和誤區(qū)

僅依靠普通CDN進(jìn)行防御

CDN主要用于緩存和加速內(nèi)容分發(fā)，而不是設(shè)計(jì)來防御DDOS攻擊的。當(dāng)遭受大規(guī)模DDoS攻擊時(shí)，CDN節(jié)點(diǎn)可能會迅速崩潰，影響業(yè)務(wù)訪問，同時(shí)CDN會產(chǎn)生大量請求和流量計(jì)費(fèi)，造成經(jīng)濟(jì)損失，攻擊量大的，CDN服務(wù)商甚至?xí)逋擞脩簟?/p>

正確的手段應(yīng)該是使用高防CDN，顧名思義就是使用高防御的CDN。高防CDN不僅可以防御DDOS攻擊，同時(shí)可以防御黑客入侵，帶兼具CDN加速功能。比如百度云防御就是這類安全CDN，百度云防護(hù)是百度旗下智能云提供的一種安全加速服務(wù)，通過智能DNS解析和動靜態(tài)內(nèi)容緩存技術(shù)，幫助用戶提升業(yè)務(wù)的訪問速度和用戶體驗(yàn)。百度云防護(hù)集成了WAF、DDoS、CC防護(hù)能力，解決SQL 注入、XSS 跨站、Webshell 上傳、非授權(quán)訪問等多種 Web 服務(wù)攻擊防護(hù)，有效解決 SYN Flood/ACK Flood/ICMP Flood/UDP Flood 等多種網(wǎng)絡(luò)層 DDoS 攻擊，以及 CC 攻擊等應(yīng)用層攻擊，具備最高 T 級的 DDoS 防護(hù)能力。

使用黑名單限制IP

這種方法只適合一些特定的惡意請求，并不適合DDOS防御，原因DDOS防御流量一般為網(wǎng)絡(luò)三層四層攻擊，根本不需要進(jìn)入服務(wù)器，就可以讓你的網(wǎng)絡(luò)癱瘓。

設(shè)置流量限速

僅僅通過限制流量峰值并不能有效防御DDOS攻擊，和上面的一樣，DDOS攻擊是網(wǎng)絡(luò)三層四層攻擊，可以攻擊癱瘓路由來實(shí)現(xiàn)攻擊目的。

設(shè)置限制訪問頻率

和限速一樣，限制訪問頻率對DDOS并無效果，DDOS在沒有進(jìn)入應(yīng)用層的時(shí)候，已經(jīng)攻擊癱瘓了你的服務(wù)器路由，并不需要訪問應(yīng)用來攻擊服務(wù)器。

限制海外訪問

限制海外訪問只能防御cc攻擊，并不能有效防御DDOS攻擊。

軟件防火墻和入侵檢測/防御系統(tǒng)能夠緩解DDoS攻擊

軟件防火墻和入侵檢測/防御系統(tǒng)在面對大規(guī)模DDoS攻擊時(shí)受限于服務(wù)器配置、帶寬等原因是無法有效工作，我們需要專門針對DDoS攻擊的清洗服務(wù)。

增加服務(wù)器帶寬

增加服務(wù)器帶寬并不能有效防御DDOS攻擊，DDOS攻擊是一種非常簡單暴力的網(wǎng)絡(luò)攻擊方式，其通過大量的僵尸服務(wù)器對目標(biāo)進(jìn)行洪水流量攻擊，通過簡單的增加服務(wù)器帶寬是不夠的，因?yàn)槟銕捰肋h(yuǎn)沒有攻擊進(jìn)來的流量大。

增加服務(wù)器硬件

增加服務(wù)器配置只能應(yīng)對針對應(yīng)用程序的CC攻擊，并不能有效防御DDOS攻擊，DDOS攻擊可以癱瘓路由網(wǎng)絡(luò)，服務(wù)器硬件再高也沒有用。

關(guān)閉端口

關(guān)閉端口可以防御應(yīng)用層的攻擊，無法防御網(wǎng)絡(luò)層的攻擊，所以我們可以看到阿里云服務(wù)器通過安全組關(guān)閉端口，服務(wù)器一樣會被DDOS黑洞的原因。而且關(guān)閉端口影響業(yè)務(wù)正常訪問。

域名解綁

一些網(wǎng)站站長在受到攻擊的時(shí)候，想的是把域名解析刪了，這樣就不會攻擊你服務(wù)器了，這個(gè)是對CC攻擊有用，對DDOS攻擊是無用的，因?yàn)镈DOS攻擊的四層攻擊是通過IP進(jìn)行攻擊的，只要知道你的服務(wù)器IP就可以被攻擊。

認(rèn)為黑客只會攻擊一兩次

黑客攻擊一但得手后，會不斷攻擊，直至你的網(wǎng)站或者業(yè)務(wù)無法正常運(yùn)營為止。一但讓黑客嘗到甜頭，往后就會無止境的攻擊，除非你不運(yùn)營業(yè)務(wù)了。

認(rèn)為小公司不會成為攻擊目標(biāo)

無論公司規(guī)模大小，都可能成為DDoS攻擊的目標(biāo)。攻擊者可能會針對那些網(wǎng)絡(luò)安全措施不足的中小型企業(yè)進(jìn)行攻擊，以獲取利益。

認(rèn)為DDoS攻擊只消耗帶寬資源

DDoS攻擊不僅消耗帶寬，還可能消耗服務(wù)器的CPU、內(nèi)存等系統(tǒng)資源，以及應(yīng)用層面的資源。

認(rèn)為只有洪水攻擊才是DDoS攻擊

除了洪水攻擊，慢速攻擊也是一種常見的DDoS攻擊方式，它通過緩慢但持續(xù)地發(fā)送請求來長時(shí)間占用系統(tǒng)資源。

認(rèn)為只有知名網(wǎng)站才會遭受DDoS攻擊

任何網(wǎng)站都可能遭受DDoS攻擊，無論其規(guī)模大小或知名度高低。

了解并避免這些誤區(qū)，有助于構(gòu)建更為有效的DDoS防御體系。