DDOS攻擊發展了幾十年，是一個用爛了的攻擊手段，但卻又是這么好用。不少人會想要知道DDOS攻擊要成本么？答案是肯定的，DDoS攻擊服務具體的價格還是取決于攻擊目標、所處位置、持續時間與流量來源等。今天就跟大家介紹下關于抵御DDoS攻擊的基本措施，高效防護措施。

　　DDOS攻擊要成本么？

　　1、相關網絡安全專家估計，利用云僵尸網絡中的1000臺計算機發動攻擊，其成本基本在每小時7美元左右。DDoS攻擊服務的一般價格為每小時25美元，意味著額外的部分，即25美元-7美元=18美元即為每小時的服務利潤。

　　2、當然，價格本身尚存在巨大的浮動空間在，一部分DDoS攻擊以300秒為周期收費5美元，而24小時持續攻擊則要價400美元。

　　4、卡巴斯基方面在發布的分析報告中指出：“這意味著利用1000臺工作站構成之僵尸網絡進行攻擊的實際成本約為每小時7美元，而調查發現這項服務的平均售價為每小時25美元，即網絡犯罪分子在一小時的DDoS攻擊過程中就可獲利18美元。”

　　5、犯罪分子們能夠在各類地下黑市中輕松付費購買DDoS攻擊服務。這些服務使用簡單且提供高效的報告系統。

　　6、另外，目前大多數非法服務供應方跟正常企業一樣在意客戶滿意度，也會關注客戶粘性、使用頻率、保留率等等，會提供簡單實用的儀表板，同時幫助客戶根據目標基礎設施的可用性水平規劃具體DDoS攻擊舉措。

　　DDOS攻擊是什么意思

　　分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

　　DDOS攻擊又稱分布式拒絕服務攻擊，是互聯網中最常見的網絡攻擊手段之一，攻擊者利用“肉雞”對目標網站在較短的時間內發起大量請求，大規模消耗目標網站的主機資源，讓它無法正常服務。目前網絡游戲、互聯網金融、電商、直播等行業是DDOS攻擊的重災區。DDOS攻擊如此肆無忌憚，你知道發起一次DDOS攻擊需要多少費用嗎？

　　卡巴斯基發布過一篇有關DDoS攻擊成本的有趣分析。專家估計，使用1000臺基于云的僵尸網絡進行DDoS攻擊的成本約為每小時7美元。而DDoS攻擊服務通常每小時25美元，這就意味著攻擊者的預期利潤大約在25美元減去7美元，每小時約18美元左右。但企業針對DDoS攻擊的防御費用其總體成本往往高達數萬甚至數百萬美元。

　　DDOS攻擊成本由哪些因素決定？

　　DDoS攻擊服務具體的價格還是取決于攻擊目標、所處位置、持續時間與流量來源等。比如攻擊中小型企業肯定要比攻擊大型企業貴，因為中小型企業防御能力差甚至沒有設置什么安全防護措施，很容易就被攻破，而大型企業一般都有專業安全防護措施，攻破難度非常大；其次所處位置對攻擊成本也有影響，不同地區的帶寬成本、設備成本、人力成本都有所不同；再有就是持續時間了，打趴目標十次肯定比打趴目標一次要貴的多。

　　DDOS利用TCP三次握手協議的漏洞發起攻擊，目前沒有什么辦法可以徹底解決，但是可以利用五九盾網絡高防服務器或者高防IP高防CDN等產品進行防御清洗。以前網絡攻擊是需要很高IT技術的，在這十幾年的發展過程中，DDOS攻擊越來越智能化和簡單化，不懂什么技術的“腳本小子”都能輕松發起DDOS攻擊。甚至在境外一些網站的網頁上，使用者只需輸入目標網站的ip地址，選擇攻擊時間，就可以發起一次DDOS攻擊。

　　其次用來發起攻擊的“肉雞”越來越容易獲取，以前“肉雞”只是傳統PC電腦，現在物聯網智能設備越來越多且安全性很差，導致越來越多的物聯網智能設備成為了“肉雞”，被用來發動DDOS攻擊。“肉雞”越來越廉價，DDOS攻擊自然也越來越便宜了。所以對于一個企業來說，接入高防服務是很務必的。

　　抵御DDoS攻擊的基本措施

　　一．網絡設備設施

　　網絡架構、設施設備是整個系統得以順暢運作的硬件基礎，用足夠的機器、容量去承受攻擊，充分利用網絡設備保護網絡資源是一種較為理想的應對策略，說到底攻防也是雙方資源的比拼，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失。相應地，投入資金也不小，但網絡設施是一切防御的基礎，企業需要根據自身情況做出平衡的選擇。

　　1. 擴充帶寬硬抗

　　網絡帶寬直接決定了承受攻擊的能力，國內大部分網站帶寬規模在10M到100M，知名企業帶寬能超過1G，超過100G的基本是專門做帶寬服務和抗攻擊服務的網站，數量屈指可數。但DDoS卻不同，攻擊者通過控制一些服務器、個人電腦等成為肉雞，如果控制1000臺機器，每臺帶寬為10M，那么攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊，帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優解，只要帶寬大于攻擊流量就不怕了，但成本也是企業難以承受之痛，國內非一線城市機房帶寬價格大約為100元/M*月，買10G帶寬頂一下就是100萬，因此許多企業調侃拼帶寬就是拼人民幣，以至于很少有企業愿意花高價買大帶寬做防御。

　　2. 使用硬件防火墻

　　許多企業會考慮使用硬件防火墻，針對DDoS攻擊和黑客入侵而設計的專業級防火墻通過對異常流量的清洗過濾，可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果企業網站飽受流量攻擊的困擾，可以考慮將網站放到DDoS硬件防火墻機房。但如果網站流量攻擊超出了硬防的防護范圍（比如200G的硬防，但攻擊流量有300G），洪水瞞過高墻同樣抵擋不住。值得注意一下，部分硬件防火墻基于包過濾型防火墻修改為主，只在網絡層檢查數據包，若是DDoS攻擊上升到應用層，防御能力就比較弱了。

　　3. 選用高性能設備

　　除了防火墻，服務器、路由器、交換機等網絡設備的性能也需要跟上，若是設備性能成為瓶頸，即使帶寬充足也無能為力。在有網絡帶寬保證的前提下，請盡量提升硬件配置。

　　二、有效的抗D思想及方案

　　硬碰硬的防御偏于“魯莽”，通過架構布局、整合資源等方式提高網絡的負載能力、分攤局部過載的流量，通過接入第三方服務識別并攔截惡意流量等等行為就顯得更加“理智”，而且對抗效果良好。

　　4. 負載均衡

　　普通級別服務器處理數據的能力最多只能答復每秒數十萬個鏈接請求，網絡處理能力很受限制。負載均衡建立在現有網絡結構之上，它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務器由于大量的網絡傳輸而過載，而通常這些網絡流量針對某一個頁面或一個鏈接而產生。在企業網站加上負載均衡方案后，鏈接請求被均衡分配到各個服務器上，減少單個服務器的負擔，整個服務器系統可以處理每秒上千萬甚至更多的服務請求，用戶訪問速度也會加快。

　　5. CDN流量清洗

　　CDN是構建在網絡之上的內容分發網絡，依靠部署在各地的邊緣服務器，通過中心平臺的分發、調度等功能模塊，使用戶就近獲取所需內容，降低網絡擁塞，提高用戶訪問響應速度和命中率，因此CDN加速也用到了負載均衡技術。相比高防硬件防火墻不可能扛下無限流量的限制，CDN則更加理智，多節點分擔滲透流量，目前大部分的CDN節點都有200G 的流量防護功能，再加上硬防的防護，可以說能應付目絕大多數的DDoS攻擊了。在CDN加速和流量清洗領域，知道創宇具有豐富的技術積累和實戰經驗，旗下的抗D保通過部署騰訊宙斯盾流量清洗設備和知道創宇祝融智能攻擊識別引擎，專注于特大流量DDoS攻擊防御服務，最大防御能力超過2TB。

　　6. 分布式集群防御

　　分布式集群防御的特點是在每個節點服務器配置多個IP地址，并且每個節點能承受不低于10G的DDoS攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先級設置自動切換另一個節點，并將攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

　　三．預防為主保安全

　　DDoS的發生可能永遠都無法預知，而一來就兇猛如洪水決堤，因此網站的預防措施和應急預案就顯得尤為重要。通過日常慣性的運維操作讓系統健壯穩固，沒有漏洞可鉆，降低脆弱服務被攻陷的可能，將攻擊帶來的損失降低到最小。

　　7. 篩查系統漏洞

　　及早發現系統存在的攻擊漏洞，及時安裝系統補丁，對重要信息（如系統配置信息）建立和完善備份機制，對一些特權賬號（如管理員賬號）的密碼謹慎設置，通過一系列的舉措可以把攻擊者的可乘之機降低到最小。計算機緊急響應協調中心發現，幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。統計分析顯示，許多攻擊者在對企業的攻擊中獲得很大成功，并不是因為攻擊者的工具和技術如何高級，而是因為他們所攻擊的基礎架構本身就漏洞百出。

　　8. 系統資源優化

　　合理優化系統，避免系統資源的浪費，盡可能減少計算機執行少的進程，更改工作模式，刪除不必要的中斷讓機器運行更有效，優化文件位置使數據讀寫更快，空出更多的系統資源供用戶支配，以及減少不必要的系統加載項及自啟動項，提高web服務器的負載能力。

　　9. 過濾不必要的服務和端口

　　就像防賊就要把多余的門窗關好封住一樣，為了減少攻擊者進入和利用已知漏洞的機會，禁止未用的服務，將開放端口的數量最小化就十分重要。端口過濾模塊通過開放或關閉一些端口，允許用戶使用或禁止使用部分服務，對數據包進行過濾，分析端口，判斷是否為允許數據通信的端口，然后做相應的處理。

　　10. 限制特定的流量

　　檢查訪問來源并做適當的限制，以防止異常、惡意的流量來襲，限制特定的流量，主動保護網站安全。對抗DDoS攻擊是一個涉及很多層面的問題，抗D需要的不僅僅是一個防御方案，一個設備，而是一個能制動的團隊，一個有效的機制。我們都聽過一句話——god helps those who help themselves. 天助自助者，因此面對攻擊，大家需要具備安全意識，完善自身的安全防護體系才是正解。

　　隨著互聯網業務的越發豐富，可以預見DDoS攻擊還會大幅度增長，攻擊手段也會越來越復雜多樣。安全是一項長期持續性的工作，需要時刻保持一種警覺，更需要全社會的共同努力。

　　DDOS攻擊要成本的，ddos成本對于黑客們成本并不高，都是黑客們批量入侵的，很低的價格就可以讓網站所在的機房把服務器封了。所以大家要學會抵御DDoS攻擊的基本措施，共同保障自己的網絡安全。