为什么“免费”DDoS 保护可能是最昂贵的

承诺诱人，价格无与伦比；毕竟——谁能打败“免费”的价格？

随着服务可用性越来越成为客户关注的问题，互联网服务提供商 (ISP)、内容分发网络 (CDN) 和公共云提供商免费提供“ DDoS 保护”作为其服务包的一部分已变得很普遍。

然而，这些服务提供商没有告诉他们的客户，如果您受到攻击，这种免费保护最终可能是最昂贵的。

DDoS 攻击经常导致可用性损失、客户流失、购物车被遗弃和声誉损失，因此前期节省的保护可能会导致更大的成本。

免费（或低成本）DDoS 保护通常由连接和计算提供商提供，他们将其与基础设施服务捆绑在一起。这通常包括 ISP、CDN 和公共云基础设施即服务 (IaaS) 提供商。

但是，有几个关键领域的“免费”DDoS 保护经常无法提供专门的安全服务。

劣质保护

没有办法绕过它：当您免费（或非常便宜）购买东西时，您通常会得到您所支付的。

基础设施服务提供商的主要关注点是销售其核心计算服务，例如互联网连接、内容分发或云计算。从他们的角度来看，DDoS 保护是实现更高销售额的损失领导者。因此，它们通常只提供成本最低的最简单、最基本的保护。

例如，一家大型公共云提供商毫不犹豫地宣布他们的免费层仅提供针对“最常见、最频繁发生的网络和传输层DDoS 攻击”的保护。另一方面，更高级别的保护需要高昂的成本。

因此，免费的 DDoS 保护层通常不提供针对高级 DDoS 攻击的保护，例如突发攻击、动态 IP 攻击、多向量攻击、IoT 僵尸网络攻击（如Mirai）、DNS 攻击、SSL 攻击或其他零日攻击DDoS 攻击。这会导致保护效果不佳，并让客户在面对老练的攻击者时暴露无遗。

有限的覆盖范围

除了安全级别之外，“免费”DDoS 保护服务的另一个关键问题是它们提供的覆盖范围有限。

通常，此类服务仅限于初级网络层 (L3/4) DDoS 攻击。但是，它们通常无法防御针对 应用程序本身的应用层（L7）DDoS 攻击，例如HTTP/S DDoS 泛洪、DNS 攻击、低速和慢速攻击等。

应用层 DDoS 保护，在提供的范围内，通常需要单独的附加成本（或购买WAF 服务），并且通常仅限于传入 HTTP/S 连接的简单速率限制。

此外，由于服务提供商的主要兴趣是销售更多其他服务，他们的 DDoS 保护将仅限于其服务的覆盖范围。对于使用多个提供商（例如多个 CDN、ISP 或公共云）的客户，这将导致对不同资产的不同保护级别、不一致的安全策略以及分散的管理和报告。

无服务承诺

免费 DDoS 保护服务节省资金并损害安全性的另一种方式是它们向客户提供的服务承诺。

您的 DDoS 保护服务仅与您的提供商愿意承诺的服务保证一样好。此类服务承诺通常记录在与服务相关的服务水平协议 (SLA) 中。

这就是为什么大多数免费（或低成本）DDoS 保护要么根本不提供 SLA，要么提供“尽力而为”的 SLA。通常，此类 SLA 不包括对攻击检测时间、缓解时间或缓解质量的任何承诺（即，测量允许通过的好流量和坏流量之间的比率）。

这意味着，如果服务提供商不履行他们的营销承诺，客户就真的无能为力，也无法解决他们的问题。

企业级 SLA应包括不仅具体而且可衡量的服务承诺（即，有一种清晰、可理解的衡量方式），并解释在违反这些 SLA 的情况下服务补救措施是什么。

在 DDoS 保护服务的 SLA 中不包括用于检测、缓解和响应的特定且可衡量的指标，应该对其提供的实际安全质量发出警报。

缺乏安全专业知识

最后，由于“免费”DDoS 保护供应商通常不是专门的安全提供商，他们经常缺乏有效应对网络攻击的专业知识和技术。

尽管此类服务提供商可能是各自领域（例如互联网连接、内容交付或云计​​算）的专家，但安全性通常是他们的副业。然而，DDoS 攻击是特定类别的网络攻击，具有不同的特征、客户影响和缓解方法。

因此，此类供应商通常不了解最新的攻击、趋势或工具，并且在处理各种 DDoS 攻击方面没有丰富的经验。

从客户的角度来看，这意味着免费的 DDoS 防护服务将无法根据需要快速或高效地处理攻击，并且可能不知道如何有效应对复杂的攻击，从而使客户暴露的时间更长。

价格很有希望，但是……

最终，当您免费购买东西时，您通常会得到您所支付的。DDoS 攻击是一种独特的网络攻击类型，防御 DDoS 攻击是网络安全中的一门专门学科。尽管许多供应商承诺提供“免费”的 DDoS 保护，但这类服务通常是他们的副业，是他们主要产品线的附加产品。

因此，这种类型的“免费”保护是以低劣的保护、有限的覆盖范围、基本的服务承诺和有限的安全专业知识为代价的，而这些在未来可能会变得更加昂贵。