企業防護DDoS的注意事項，你知道幾個?

　　DDoS，分散式拒絕服務攻擊，是指處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位於不同位置的多臺機器並利用這些機器對受害者同時實施攻擊。在當下，DDoS攻擊是非常常見的一種攻擊方式，大部分網際網路企業都是聞“D”色變，因為DDoS攻擊被認為是網路安全領域最難解決的問題之一。那麼企業防護DDoS的注意事項，你知道幾個?本文為大家介紹一下。

　　1、網站被DDoS攻擊與規模大小或企業知名度高低沒有必然關係

　　當下，DDoS攻擊會針對不同型別的企業和網站發起。DDoS攻擊，亦有可能是你的競爭對手策略性地發起的，例如：當你的網站進行促銷活動時，被DDoS攻擊的風險和潛在危害，將會更為突出。

　　令人擔憂的是，DDoS攻擊的最新研究顯示，網際網路上存在越來越多完全不分青紅皂白、平白無故就發起攻擊的現象和趨勢。很多企業認為自己並沒有什麼知名度，只要不去惹事就不會被攻擊者盯上，但其實規模小的網站，防護能力薄弱，更容易得手。所以，只要你的網站是可被攻擊的，那麼它就有可能遭遇DDoS。

　　2、DDoS攻擊並不是全部來自於PC組成的殭屍網路

　　很多人會以為DDoS攻擊，全都是攻擊者控制PC肉雞發起的攻擊，這在以前的確是如此，但是現在駭客的目光，早已經由PC轉向高效能伺服器以及數量眾多、各種各樣的物聯網裝置，這些伺服器和智慧裝置都是可以用來發起攻擊的。

　　3、DDoS攻擊不都是消耗網路頻寬資源的攻擊

　　其實DDoS攻擊，不全都是以消耗攻擊目標的網路頻寬資源的攻擊，也有消耗伺服器系統資源以及應用資源的攻擊。比如SYN Flood就是為了耗盡攻擊目標系統的TCP連線表資源，同等攻擊流量的SYN Flood會比UDP Flood，危害更大。

　　4、系統最佳化和增加頻寬並不能有效緩解DDoS攻擊

　　系統最佳化，主要是針對被攻擊系統的核心引數進行調整，比如增加TCP連線表的數量或者是建立連線超時時間等，這對於小規模的攻擊可以起到一定防護DDoS作用;但當遭遇大流量的DDoS攻擊時，就完全沒有任何作用了。增加頻寬也是一樣的，而且最終解決不了根本的問題，只能對小規模的DDoS攻擊起到緩解作用，當攻擊者成倍增大攻擊規模和攻擊流量時，其作用就是微乎其微的。另外，增加頻寬進行硬抗，對於大流量的DDoS攻擊來說並不可取，原因是太燒錢了，一般的中小企業根本無法承受這樣的高昂成本。

　　5、使用防火牆、IDS、IPS不能緩解DDoS攻擊

　　防火牆是最常用的安全產品，但傳統的防火牆是透過高強度的檢測來進行防護的，主要部署在網路入口位置，雖然可以保護網路內部的所有資源，但是也成為了DDoS攻擊的目標。

　　IDS、IPS屬於應用最廣泛的攻擊檢測與防護工具，但在面臨DDoS攻擊時，IDS\IPS通常也不能完全滿足要求。IDS、IPS一般是基於特徵規則的情況下，進行應用層攻擊的檢測。但目前的DDoS攻擊，大部分是模擬正常的使用者訪問請求進行攻擊的。因此防火牆和IDS、IPS在是否能夠有效防護DDoS攻擊的問題上，存在著效能問題。