很多人对DDoS攻击的认知和理解，难免存在一些误区，所以在DDoS防护时也容易存在一些问题。网络上一些关于网络安全的新闻报道是大多数人的信息来源，但这些信息在内容质量上参差不齐，本文专门就企业在做网络安全防护时应该注意的一些事项进行分析。

一、网站被DDOS攻击与规模大小或企业知名度高低没有必然联系

现在的DDoS攻击，会针对许多不同类型的企业和网站发起。DDoS攻击，亦有可能是你的竞争对手策略性地发起的，例如：当你的网站进行促销活动时，被DDoS攻击的风险和潜在危害，将会更为突出。

令人担忧的是，DDoS攻击的最新研究显示，互联网上存在越来越多完全不分青红皂白、平白无故就发起攻击的现象和趋势。很多企业认为自己并没有什么知名度，只要不去惹事就不会被攻击者盯上，但其实规模小的网站，防护能力薄弱，更容易得手。所以，只要你的网站是可被攻击的，那么它就极有可能遭遇DDoS攻击。

二、DDoS攻击并不是全部来自于PC(个人电脑/个人计算机）组成的僵尸网络

很多人会以为DDoS攻击，全都是攻击者控制"PC(个人电脑/个人计算机)肉鸡""发起的攻击，这在以前的确是如此，但是现在黑客的目光，早已经由PC(个人电脑/个人计算机)转向"高性能服务器"以及数量众多、各种各样的"物联网设备”，这些服务器和智能设备都是可以用来发起攻击的。

三、DDoS攻击不都是消耗网络带宽资源的攻击

其实DDoS攻击，不全都是以消耗攻击目标的网络带宽资源的攻击，也有消耗服务器系统资源以及应用资源的攻击。比如，SYN Flood就是为了耗尽攻击目标系统的TCP连接表资源，同等攻击流量的SYN Flood会比UDP Flood，危害更大。

四、DDoS的云端清洗服务和本地缓解设备不可以可以相互替代

DDoS攻击属于多种攻击种类的统称，不同种类的攻击有不同的应对方法。一般而言，云端清洗服务擅长应对流量型DDoS攻击；而本地缓解设备则适合对抗系统资源消耗型和应用资源消耗型的DDoS攻击。用户应该根据自己的业务特点和主要威胁，选择合适自身的DDoS防护措施。

五、系统优化和增加带宽并不能有效缓解DDoS攻击

系统优化，主要是针对被攻击系统的核心参数进行调整，比如"增加TCP连接表的数量"或者是"建立连接超时时间′等，这对于小规模的攻击可以起到一定的DDoS防护作用;但是当遭遇大流量的DDoS攻击时，就完全没有任何作用了。增加带宽也是一样的，而且最终解决不了根本的问题，只能对小规模的DDoS攻击起到缓解作用，当攻击者成倍增大攻击规模和攻击流量时，其作用就显得微乎其微了。另外，增加带宽进行硬抗，对于大流量的DDoS攻击来说并不可取，原因是太烧钱了，一般的中小企业根本无法承受这样的高昂成本。

六、使用防火墙、IDS(入侵检测系统）/IPS(入侵防御系统）不能缓解DDoS攻击

防火墙是最常用的安全产品，但传统的防火墙是通过高强度的检测来进行防护的，主要部署在网络入口位置，虽然可以保护网络内部的所有资源，但是也成为了DDoS攻击的目标。

IDS(入侵检测系统）/IPS (入侵防御系统）属于应用最广泛的攻击检测与防护工具，但在面临DDoS攻击时，IDS(入侵检测系统)/IPS(入侵防御系统）通常也不能完全满足要求。IDS (入侵检测系统）/IPS (入侵防御系统）一般是基于特征规则的情况下，进行应用层攻击的检测。但目前的DDoS攻击，大部分是模拟正常的用户访问请求进行攻击的。因此防火墙和IDS (入侵检测系统)/IPS(入侵防御系统）在是否能够有效进行DDoS防护的问题上，存在着性能问题。

可以这么说，防火墙只是防御策略的一部分，而不是一个完整的方案。想要更加全面有效地防御DDoS攻击，就绝不能仅仅依靠防火墙来解决，还需要结合其他技术和设备进行防御。

在网络世界，DDoS攻击的威胁无处不在，企业更应该重视DDoS防护和网络安全。发起DDoS攻击的成本其实很低，技术难度并不高，如果不做好安全防护，很有可能就会遭遇攻击。DDoS攻击是当前最常见、最顽固的网络攻击方式的统称，具有"破坏性大、杀伤力强，防范难度较高，且无法彻底根除"等特点。迄今为止，全球范围内发生的恶意DDoS攻击事件不计其数，而因此蒙受损失和伤害的企业、个人、政府部门和组织机构，更是数不胜数!

本文来自：https://www.zhuanqq.com/News/Industry/350.html