如果重新設計網路協議，能否完全解決ddos攻擊？

互聯網的基礎協議族都已經幾十年了，老的不像樣子，當初設計者完全沒有預料到今天互聯網的規模、用途、開放性，以及相應的安全威脅，所以很多安全問題只好在其他層面修修補補，很是痛苦。可是老協議應用太廣泛，改協議帶來的兼容性代價極大，是極為困難的事情。

但是如果著眼未來，這些協議終究還是會慢慢的被修改甚至徹底被拋棄，被新的協議取代。所以從理論的角度探討一下，不但是有趣的思維體操，更有著巨大的技術價值。

很多答案說：不能。或者說：只能緩解。這些答案其實還是慣性思維，腦洞還不夠大，還是在現有的互聯網協議以及IT技術的思路前提下的分析。

我認為有可能完全杜絕包括DDoS在內的絕大部分網路安全攻擊。想想看，讓你重新設計整個互聯網的協議，多麼激動人心的機會啊？這是一個再造互聯網、打造互聯伊甸園的機會。

所以從過去的十幾年來看，未來的十幾年也會是這個趨勢：漏洞也可能會越來越多，但會越來越細節，越來越貼近產品實現。而漏洞的修復也從原來必須連接計算機手動升級變成了OTA，隨著OTA技術的進一步普及，將來從漏洞發現到修復可能會在一天之內完成。這樣再想大規模囤積肉雞資源將難上加難。

而且近些年對DDOS衝擊最大的並不是當年那赫赫有名的「黑洞」防火牆產品，而是各種雲加速服務。越多的人使用這類CDN服務，這類服務的承載力就越大。谷歌已於幾年前推出了其免費抗DDOS產品Project Shield。最近CloudFlare已經發布消息，免費開放其抗DDOS服務。從我實際了解的情況來看，目前沒有1T的流量想把這兩家服務打死基本上沒戲。而對於用戶來說，只需要動動手，改改DNS配置，就能得到世界頂級的免費抗DDOS服務。這從某種程度上來講，是由於安全集中化、產品化、專業化，所產生的必然結果。

所以像美國上次被IoT設備DDOS攻擊的情況未來並不容易出現，而且即便出現也不是銀彈。反而這類事情會極大的推進OTA技術發展。

所以我感覺未來的DDOS會從現在的主流位置不斷被邊緣化，直到它不再有能力能影響主流業務為止。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！