误区5：只有“黑客”才能发起DDoS

　　“只有‘黑客’才能发起DDoS”这个问题有些类似“只有士兵才能持枪射击”。技术的发展必然会促进分工，当前枪械的制造和使用早已完全分离，使用的难度也大幅降低。如果对准确度要求不高，射击就不再是一项专业技能，普通人经过少许练习就能够使用枪支。

　　网络攻击同样如此。当前大部分“黑客”都专注于特定领域，有的擅长发现漏洞，有的善于开发工具，有的负责入侵过程，有的专门处理账户信息。就DDoS攻击来说，一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络，有的控制高性能服务器，形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。这些服务使用方便，只要输入攻击目标的地址就可以完成整个攻击过程。发起DDoS攻击的可能是本地的网络黑帮，可能是对街的竞争对手，可能是上周被开除的员工，甚至可能是某个老朋友有些过火的玩笑。潜在的攻击者并不遥远，他们也许就在你的身边。

　　误区6：DDoS攻击的目的就是单纯破坏

　　在很多人眼中，“黑客”其实是天才和白痴的混合体。一方面，他们在网络中如超人般无所不能；另一方面，他们却像“哥斯拉”般四处喷火，为了破坏而破坏，完全是损人不利己。毋庸置疑，DDoS攻击的直接后果是破坏服务的可用性，简直是这一看法的完美证据。可实际上，这些隐藏在面具后的是一双双能够计算比特币的眼睛。当今时代的攻击者，对计算收益的敏感性远超常人。他们会用破坏的威力换取对等的利润，会用破坏的威慑避免自身可能受到的损失，会用破坏的杠杆撬起胜负的天平。更有时候，只需提示一下破坏的可能性，他们就可以坐地收银。胜负的天平。更有时候，只需提示一下破坏的可能性，他们就可以坐地收银。

　　破坏，只是DDoS攻击的手段；最终的目的，永远是利益。

　　误区7：防火墙和入侵检测/防御系统能够缓解DDoS攻击

　　防火墙是最常用的安全产品，但是防火墙的设计原理中并没有考虑针对DDoS攻击的缓解。传统的防火墙是以高强度的检查作为代价来进行防护的，检查的强度越高，计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降，不能有效地完成包转发的任务。同时，传统防火墙一般都部署在网络入口位置，虽然这是某种意义上保护了网络内部的所有资源，但是往往也成为DDoS攻击的目标。入侵检测/防御系统是应用最广泛的攻击检测/防护工具，但在面临DDoS攻击是，入侵检测/防御系统通常也不能满足要求。入侵检测/防御系统一般是基于规则进行应用层攻击的检测，在其设计之初就是作为一种基于特征的应用层攻击检测设备。但是目前的DDoS攻击大部分采用基于合法数据包的攻击流量，因此入侵检测/防御系统无法对DDoS攻击进行基于特征的有效检测。同时，入侵检测/防御系统也面临着和防火墙同样的性能问题。

　　误区8：系统优化和增加带宽能够有效缓解DDoS攻击

　　系统优化主要是指对被攻击系统的核心参数进行调整，例如增加TCP连接表的数量，降低TCP建立连接的超时时间等。对于小规模的DDoS攻击，系统优化的方法的确具有一定程度的缓解作用。但当攻击者成倍地增大DDoS攻击的规模和攻击流量时，这些系统优化的作用就显得微乎其微了。

　　增加带宽实际上属于一种退让策略，这种退让策略还包括购买冗余硬件、增添性能更好的服务器等。只要攻击者的DDoS攻击造成资源消耗不高于目前的带宽、计算等资源的承载能力，那么攻击就是无效的；而一旦DDoS攻击的资源消耗超出了目前的承载能力，则通过再次退让来使其无效化。增加带宽等退让策略从理论上讲的确能够完全解决DDoS攻击的问题，然而在实际上这种方式并不符合经济规律。事实上，攻击者增大DDoS攻击规模的成本并不高，而采用退让策略缓解DDoS攻击则需要不断增加带宽、服务器等基础设施的投入，这些投入不可能无限制增加，因此退让策略也不是缓解DDoS攻击的有效方法。

　　误区9：DDoS的云端清洗服务和本地缓解设备可以相互替代

　　DDoS其实是多种攻击的统称，不同的攻击也许要不同的缓解方法。通常情况下，云端清洗服务主要采用稀释和分流的方法，擅长应对流量型DDoS攻击；而本地缓解设备能够处理的流量较小，更容易组合使用多种清洗技术，适合对抗系统资源消耗型和应用资源消耗型DDoS攻击。用户应该根据自己的业务特点和主要威胁，选择适合自身的解决方案。