DDoS(Distributed Denial of Service，分布式拒绝服务)攻击是众所周知的网络攻击手段，其利用反常的大规模流量攻击网站，主要目的是让目标网站无法提供正常服务，是目前最强大、最难防御的攻击之一。

据了解，近期俄罗斯用于选举党派候选人的区块链初选投票平台遭到了分布式拒绝服务也就是DDoS攻击，这意味着什么？举个形象的例子，比如一个票箱最多能装一千票，有人通过非人工方式短时间内投进去一千万张票，导致本来计划投票的民众无法正常投票。DDoS攻击就是，攻击者为了让所有应该正常投票的人不能正常参与，短时间内将票箱的投票口堵塞，那么想要正常投票的人，就会被拒之门外。

事实上，投票活动中遇到DDoS攻击的情况并不少见，这种攻击手段会让活动面临服务中断、付出更高的成本、数据丢失、数据不实、服务错乱等一系列问题。

那么投票活动如何才能更好地抵御DDoS攻击？关于这个问题，我们对“光明云投”平台——首席架构师，光明网产品服务部总监李洪帅进行了专访。

一、建立全方位防御机制，有效避免投票平台遭受DDoS攻击。

李洪帅表示：许多全球大型互联网企业都曾遭受过DDoS攻击，无论是展开技术含量较高的反射式攻击，还是简单粗暴的带宽消耗，无不令受害者深受其扰。因此预先为投票平台部署全方位的防护结构，可以将被攻击的概率降到最低，从而充分保护投票平台的网络安全。

1、定期扫描：定期对投票平台进行系统升级，检查是否存在安全漏洞，防止漏洞利用型DDoS攻击导致投票系统拒绝服务。

2、使用优质DNS服务商：DDoS攻击除了可以攻击投票平台本身外，也可以通过DNS Query型DDoS攻击你使用的DNS服务商，导致DNS服务商无法正常解析，网站瘫痪。

3、选择防御DDoS攻击设备：选择优质的防御DDoS攻击设备，可防护各类基于网络层、传输层及应用层的DDoS攻击，如SYN Flood、UDP Flood、ICMP Flood等，同时限制相同IP的并发数量。

4、负载均衡+高可用集群架构：使用私有云集群部署方式，带宽弹性伸缩，可承受海量并发，充分保障投票系统的稳定性。

5、备用系统及备用网络出口：准备备用系统及备用IP，在遭受到DDoS攻击时，可以及时修改DNS解析，将流量导入新的IP和服务器。

6、CDN加速，隐藏真实IP：使用CDN加速，对静态资源进行加速，加快各地区的访问投票平台速度。同时作为一种代理服务器，CDN可以隐藏源站的IP，所以DDoS攻击时，CDN可以帮助分担很多流量，对于源站影响减少，从而有效保护投票平台的安全。

二、完备DDoS应急防护措施，保障投票活动的连续性、稳定性。

除了事先部署全方位的防御DDoS攻击防护网，投票活动中面对DDoS攻击时的应急处理能力更为重要。

李洪帅说：黑客每天都在成长，会有越来越多的方法可用在Internet上查找易受攻击的系统，所以投票平台必须采取全网实时监控，发现攻击时才能快速响应，有条不紊地减少攻击透包，保障投票活动稳定进行。

1、攻击监测:通过监测实时发现攻击行为，判断攻击来源IP，使用硬件设备进行IP黑名单屏蔽，保证自己的出口带宽不被堵塞。

2、IP黑名单屏蔽：联系机房和运营商，从机房和运营商层面进行IP黑名单屏蔽，保证机房出口带宽不被堵塞。

3、扩充投票系统集群资源：根据业务量对投票平台进行私有云集群的弹性扩容，提供更多的计算资源。

4、启用备用系统及备用IP：修改DNS解析，将流量导入备用IP及备用系统中。

5、清洗攻击流量：启用安全厂商的流量清洗服务，对攻击流量进行清洗。

近年来DDoS的攻击流量和频率都越来越大，投票活动中如果遭受攻击则会导致网络带宽升高、业务延迟、卡顿，严重时甚至出现拒绝服务的情况。因此在计划发起投票活动时，一定要选择安全、可靠、具有完备抵御DDoS攻击策略的投票平台。

“光明云投”是中央重点新闻网站光明网自主研发的征集、评选、投票一体化全媒体活动平台，具有以上所述的全方位DDoS攻击防御机制和完备的应急防护措施。在投票活动中，平台会进行全网监控，实时监测异常流量，发现问题快速响应，形成抵御DDoS攻击解决方案闭环，充分保障投票活动的连续性、稳定性。

不仅是抵御DDoS攻击方面，在以往为政府机构、企事业单位提供投票技术支持的工作中，“光明云投”尤其重视全局的安全防护工作，平台从物理安全、网络安全、主机安全、应用安全、数据安全五个层面考虑，结合自身特点，在运行维护方面投入大量成本，进行了整体的安全设计，充分保证平台系统的保密性、完整性、可用性、真实性、可追溯性。