天方夜谭？避免DDoS的唯一可行方案

需要注意的是，发动大规模DDoS攻击的成本并不高，攻击者只需要投入少量的资金，便可以给目标带来巨额的财产损失。目前，物联网正在不断兴起，而与此同时物联网设备又存在各种各样的安全隐患。在这种背景下，物联网设备将使攻击者的攻击火力大大增加。

难道我们真的只能任人宰割吗?

很多读者朋友和记者朋友都曾经问过我，我们到底应该如何防御DDoS攻击。随着黑客技术的不断发展，DDoS攻击的恶意流量规模每年都会提升一个档次。在我们现在所遇到的DDoS攻击中，每秒钟的恶意攻击流量大小已经超过了1TB。回想起当初的DDoS攻击每秒钟只有100Mb的恶意流量，相比之下，1TB每秒的攻击流量简直是令人不敢想象!

你之所以无法阻止DDoS攻击，那是因为DDoS攻击针对的是OSI模型的各个层，而攻击者可以针对OSI模型的每一层发动各种各样的攻击。

由于攻击者在发动DDoS攻击时使用的是其他用户的计算机或物联网设备，因此我们如果无法拿下DDoS的命令控制中心，那么我们就无法阻止此次DDoS攻击。虽然我们在此之前也曾抓到过一些可恶的DDoS攻击者，但是这并没有多大的意义，因为“一个我倒下了，还有千千万万个我会站起来”。

当然了，互联网目前所面临的安全威胁远远不止DDoS攻击。互联网充斥着大量的钓鱼邮件和恶意软件，而攻击者每天都可以利用这些肮脏的手段来从广大无辜用户的身上窃取数百万美金。类似银行交易、医疗保健和电网等基础设施的管理控制在以前是不必接入互联网的，但是随着科技的不断发展，这些服务的正常运作现在都需要依赖于互联网的稳定性了。正因如此，“提升网络安全性”这一任务将会变得越来越紧迫。

但我不得不提醒各位，互联网的稳定性不仅是一种虚无缥缈的东西，而且这种所谓的稳定性压根就不存在。

我们应该怎么做?

如果我们想要改变互联网目前的这种“悲惨状态”，我们就得重新构建一个全新的互联网，即互联网2.0。相比之下，互联网1.0更像是一种业余爱好者使用的网络。这种网络缺乏一定的专业性，因为目前互联网中绝大部分的安全验证机制都是一种“低成本”的身份验证，根本无法保证网络的安全性。

比如说，任何人随时都可以向全世界的任何一台电子邮件服务器发送电子邮件，无论这封电子邮件是否合法、是否有效，邮件服务器都会处理这封邮件的内容。如果这个过程你重复一千万次，你每次得到的结果其实都是一样的。

邮件服务器并不关心它所收到的这封邮件是由Donald Trump发送的，还是由中国或者俄罗斯的某位用户发送的。它无法通过简单的密码、双因素身份验证、或者生物识别标记来验证Trump的身份。不仅如此，它也无法根据Trump之前发送邮件的IP地址或者Trump的正常工作时间来判断这封邮件到底是不是由Trump发送的。因此，邮件服务器只会不断地接收和处理发送过来的电子邮件，而无法去判定邮件是否可信任。

互联网2.0

我认为，全世界绝大多数的用户都会愿意去为一个，至少将双因素身份验证或生物识别标记作为最低级验证机制的新型互联网付费。除此之外，为了能够让自己变得更加安全，即便是联网设备的价格有所上升，我相信广大用户也是可以接受的。在我看来，这些设备应该内置加密芯片，而这些加密芯片需要确保设备或用户的数字证书不被犯罪分子所盗取。

这种专业级别的互联网应该部署一些集中化的服务，例如今天的DNS。我们可以通过这种集中式服务来处理所有的网络通信，无论这些请求是合法的或是恶意的。如果某人的计算机或服务账号被攻击者或恶意软件所控制，那么这个事件将会被转发给所有处于同一网络链接下的用户。在互联网2.0中，我们可以评估每一条网络链接的可信任程度，互联网2.0中的每一位用户都可以根据这条网络链接的信任等级来决定到底应该如何处理这条链接。

想必大家也意识到了，互联网2.0的诞生也就意味着“网络匿名性”将会走到尽头。对于那些更加愿意在网络中保持匿名的用户来说，互联网1.0也许是他们最好的选择。

但是，像我这样的人以及我所在的公司也许更加需要的是信息的安全。毕竟，目前很多厂商都会给用户提供两种不同版本的产品，即安全的和不安全的产品。比如说，我使用互联网中继聊天工具(IRC)已经有十多年了。大多数的IRC信道都不会对用户的身份进行验证，而且经常会受到黑客的攻击。但是你可以选择使用一条更加可靠和安全的IRC信道，所以我希望互联网中的所有服务和协议都可以给用户提供这样的一种选择。

作者：佚名

来源：51CTO