DDOS攻击发展了几十年，是一个用烂了的攻击手段，但却又是这么好用。不少人会想要知道DDOS攻击要成本么？答案是肯定的，DDoS攻击服务具体的价格还是取决于攻击目标、所处位置、持续时间与流量来源等。今天就跟大家介绍下关于抵御DDoS攻击的基本措施，高效防护措施。

　　DDOS攻击要成本么？

　　1、相关网络安全专家估计，利用云僵尸网络中的1000台计算机发动攻击，其成本基本在每小时7美元左右。DDoS攻击服务的一般价格为每小时25美元，意味着额外的部分，即25美元-7美元=18美元即为每小时的服务利润。

　　2、当然，价格本身尚存在巨大的浮动空间在，一部分DDoS攻击以300秒为周期收费5美元，而24小时持续攻击则要价400美元。

　　4、卡巴斯基方面在发布的分析报告中指出：“这意味着利用1000台工作站构成之僵尸网络进行攻击的实际成本约为每小时7美元，而调查发现这项服务的平均售价为每小时25美元，即网络犯罪分子在一小时的DDoS攻击过程中就可获利18美元。”

　　5、犯罪分子们能够在各类地下黑市中轻松付费购买DDoS攻击服务。这些服务使用简单且提供高效的报告系统。

　　6、另外，目前大多数非法服务供应方跟正常企业一样在意客户满意度，也会关注客户粘性、使用频率、保留率等等，会提供简单实用的仪表板，同时帮助客户根据目标基础设施的可用性水平规划具体DDoS攻击举措。

　　DDOS攻击是什么意思

　　分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

　　DDOS攻击又称分布式拒绝服务攻击，是互联网中最常见的网络攻击手段之一，攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。目前网络游戏、互联网金融、电商、直播等行业是DDOS攻击的重灾区。DDOS攻击如此肆无忌惮，你知道发起一次DDOS攻击需要多少费用吗？

　　卡巴斯基发布过一篇有关DDoS攻击成本的有趣分析。专家估计，使用1000台基于云的僵尸网络进行DDoS攻击的成本约为每小时7美元。而DDoS攻击服务通常每小时25美元，这就意味着攻击者的预期利润大约在25美元减去7美元，每小时约18美元左右。但企业针对DDoS攻击的防御费用其总体成本往往高达数万甚至数百万美元。

　　DDOS攻击成本由哪些因素决定？

　　DDoS攻击服务具体的价格还是取决于攻击目标、所处位置、持续时间与流量来源等。比如攻击中小型企业肯定要比攻击大型企业贵，因为中小型企业防御能力差甚至没有设置什么安全防护措施，很容易就被攻破，而大型企业一般都有专业安全防护措施，攻破难度非常大；其次所处位置对攻击成本也有影响，不同地区的带宽成本、设备成本、人力成本都有所不同；再有就是持续时间了，打趴目标十次肯定比打趴目标一次要贵的多。

　　DDOS利用TCP三次握手协议的漏洞发起攻击，目前没有什么办法可以彻底解决，但是可以利用五九盾网络高防服务器或者高防IP高防CDN等产品进行防御清洗。以前网络攻击是需要很高IT技术的，在这十几年的发展过程中，DDOS攻击越来越智能化和简单化，不懂什么技术的“脚本小子”都能轻松发起DDOS攻击。甚至在境外一些网站的网页上，使用者只需输入目标网站的ip地址，选择攻击时间，就可以发起一次DDOS攻击。

　　其次用来发起攻击的“肉鸡”越来越容易获取，以前“肉鸡”只是传统PC电脑，现在物联网智能设备越来越多且安全性很差，导致越来越多的物联网智能设备成为了“肉鸡”，被用来发动DDOS攻击。“肉鸡”越来越廉价，DDOS攻击自然也越来越便宜了。所以对于一个企业来说，接入高防服务是很务必的。

　　抵御DDoS攻击的基本措施

　　一．网络设备设施

　　网络架构、设施设备是整个系统得以顺畅运作的硬件基础，用足够的机器、容量去承受攻击，充分利用网络设备保护网络资源是一种较为理想的应对策略，说到底攻防也是双方资源的比拼，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失。相应地，投入资金也不小，但网络设施是一切防御的基础，企业需要根据自身情况做出平衡的选择。

　　1. 扩充带宽硬抗

　　网络带宽直接决定了承受攻击的能力，国内大部分网站带宽规模在10M到100M，知名企业带宽能超过1G，超过100G的基本是专门做带宽服务和抗攻击服务的网站，数量屈指可数。但DDoS却不同，攻击者通过控制一些服务器、个人电脑等成为肉鸡，如果控制1000台机器，每台带宽为10M，那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击，带宽瞬间就被占满了。增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本也是企业难以承受之痛，国内非一线城市机房带宽价格大约为100元/M*月，买10G带宽顶一下就是100万，因此许多企业调侃拼带宽就是拼人民币，以至于很少有企业愿意花高价买大带宽做防御。

　　2. 使用硬件防火墙

　　许多企业会考虑使用硬件防火墙，针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果企业网站饱受流量攻击的困扰，可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围（比如200G的硬防，但攻击流量有300G），洪水瞒过高墙同样抵挡不住。值得注意一下，部分硬件防火墙基于包过滤型防火墙修改为主，只在网络层检查数据包，若是DDoS攻击上升到应用层，防御能力就比较弱了。

　　3. 选用高性能设备

　　除了防火墙，服务器、路由器、交换机等网络设备的性能也需要跟上，若是设备性能成为瓶颈，即使带宽充足也无能为力。在有网络带宽保证的前提下，请尽量提升硬件配置。

　　二、有效的抗D思想及方案

　　硬碰硬的防御偏于“鲁莽”，通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载的流量，通过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”，而且对抗效果良好。

　　4. 负载均衡

　　普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求，网络处理能力很受限制。负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载，而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后，链接请求被均衡分配到各个服务器上，减少单个服务器的负担，整个服务器系统可以处理每秒上千万甚至更多的服务请求，用户访问速度也会加快。

　　5. CDN流量清洗

　　CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G 的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。在CDN加速和流量清洗领域，知道创宇具有丰富的技术积累和实战经验，旗下的抗D保通过部署腾讯宙斯盾流量清洗设备和知道创宇祝融智能攻击识别引擎，专注于特大流量DDoS攻击防御服务，最大防御能力超过2TB。

　　6. 分布式集群防御

　　分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

　　三．预防为主保安全

　　DDoS的发生可能永远都无法预知，而一来就凶猛如洪水决堤，因此网站的预防措施和应急预案就显得尤为重要。通过日常惯性的运维操作让系统健壮稳固，没有漏洞可钻，降低脆弱服务被攻陷的可能，将攻击带来的损失降低到最小。

　　7. 筛查系统漏洞

　　及早发现系统存在的攻击漏洞，及时安装系统补丁，对重要信息（如系统配置信息）建立和完善备份机制，对一些特权账号（如管理员账号）的密码谨慎设置，通过一系列的举措可以把攻击者的可乘之机降低到最小。计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。统计分析显示，许多攻击者在对企业的攻击中获得很大成功，并不是因为攻击者的工具和技术如何高级，而是因为他们所攻击的基础架构本身就漏洞百出。

　　8. 系统资源优化

　　合理优化系统，避免系统资源的浪费，尽可能减少计算机执行少的进程，更改工作模式，删除不必要的中断让机器运行更有效，优化文件位置使数据读写更快，空出更多的系统资源供用户支配，以及减少不必要的系统加载项及自启动项，提高web服务器的负载能力。

　　9. 过滤不必要的服务和端口

　　就像防贼就要把多余的门窗关好封住一样，为了减少攻击者进入和利用已知漏洞的机会，禁止未用的服务，将开放端口的数量最小化就十分重要。端口过滤模块通过开放或关闭一些端口，允许用户使用或禁止使用部分服务，对数据包进行过滤，分析端口，判断是否为允许数据通信的端口，然后做相应的处理。

　　10. 限制特定的流量

　　检查访问来源并做适当的限制，以防止异常、恶意的流量来袭，限制特定的流量，主动保护网站安全。对抗DDoS攻击是一个涉及很多层面的问题，抗D需要的不仅仅是一个防御方案，一个设备，而是一个能制动的团队，一个有效的机制。我们都听过一句话——god helps those who help themselves. 天助自助者，因此面对攻击，大家需要具备安全意识，完善自身的安全防护体系才是正解。

　　随着互联网业务的越发丰富，可以预见DDoS攻击还会大幅度增长，攻击手段也会越来越复杂多样。安全是一项长期持续性的工作，需要时刻保持一种警觉，更需要全社会的共同努力。

　　DDOS攻击要成本的，ddos成本对于黑客们成本并不高，都是黑客们批量入侵的，很低的价格就可以让网站所在的机房把服务器封了。所以大家要学会抵御DDoS攻击的基本措施，共同保障自己的网络安全。