DDoS防禦的認知誤區，你知道幾個?

　　DDoS，全稱Distributed Denial of Service，即分散式拒絕服務攻擊。該攻擊方式有很多種型別，且具有較強的危害性，也是網路世界裡最常見又最令人頭疼的問題，所以DDoS防禦便成為大家關注的焦點。說起DDoS防禦，其實一直以來大家都存在著認知誤區，從而導致我們的安全防護工作不理想，那麼關於DDoS防禦的認知誤區，你知道幾個?本文為大家介紹一下。

　　1、加速CDN可以防禦DDoS攻擊

　　這是一種很常見的錯誤觀點，純加速CDN的作用是快取加速而不是防禦攻擊，加速CDN是不能區分正常流量和攻擊流量的，當遭到DDoS攻擊時，CDN節點會迅速崩潰，導致伺服器直接當機，使用者無法正常訪問。

　　2、防火牆可以防禦DDoS攻擊

　　防火牆是一種將內部網路與公共接入網路隔離的方法。它實際上是基於現代通訊網路技術和資訊保安技術的一種應用安全技術和隔離技術。面對複雜的DDoS攻擊防火牆完全起不了什麼作用，它們甚至可以成為惡意流量的入口或攻擊的實際目標。並且儲存防火牆處理所有資訊所需的計算能力非常有限，這使得它很容易成為駭客的攻擊目標。

　　3、黑名單限制可以防禦DDoS攻擊

　　有一些網際網路企業想透過黑名單限制來預防DDoS攻擊，但這是不太現實的。由於DDoS攻擊流量都是模擬真實的IP進入，運維人員很難區分哪些IP是攻擊流量，哪些IP是真實訪客。因此，限制較少的IP沒有效果，限制IP可能會造成大規模的無阻塞，導致無法訪問正常訪客。

　　4、設定閾值警報可以防禦DDoS攻擊

　　一些運維人員認為可以透過設定流量閾值警報來防禦DDoS攻擊，但實際情況是當遭到流量攻擊時它只報告您的危機正在發生，並不會對攻擊起到阻止的作用。如果你沒有專業的防禦措施，那你只能束手無策的看著攻擊將伺服器打入黑洞，只能等攻擊停止後運營商解除黑洞，伺服器才可以正常訪問。

　　5、加大頻寬可以防禦DDoS攻擊

　　DDoS攻擊會導致頻寬佔滿，有些運維人員覺得可以透過加大伺服器頻寬來防禦DDoS攻擊，但實際作用可能微乎其微。現在的DDoS攻擊規模隨隨便便都是上百G峰值，高的時候甚至能達到T級，面對這麼大的流量峰值透過提高伺服器頻寬顯得太微不足道了，如果靠強行加大頻寬去硬抗那成本是天價的。