如果重新设计网络协议，能否完全解决ddos攻击？

互联网的基础协议族都已经几十年了，老的不像样子，当初设计者完全没有预料到今天互联网的规模、用途、开放性，以及相应的安全威胁，所以很多安全问题只好在其他层面修修补补，很是痛苦。可是老协议应用太广泛，改协议带来的兼容性代价极大，是极为困难的事情。

但是如果着眼未来，这些协议终究还是会慢慢的被修改甚至彻底被抛弃，被新的协议取代。所以从理论的角度探讨一下，不但是有趣的思维体操，更有着巨大的技术价值。

很多答案说：不能。或者说：只能缓解。这些答案其实还是惯性思维，脑洞还不够大，还是在现有的互联网协议以及IT技术的思路前提下的分析。

我认为有可能完全杜绝包括DDoS在内的绝大部分网络安全攻击。想想看，让你重新设计整个互联网的协议，多么激动人心的机会啊？这是一个再造互联网、打造互联伊甸园的机会。

所以从过去的十几年来看，未来的十几年也会是这个趋势：漏洞也可能会越来越多，但会越来越细节，越来越贴近产品实现。而漏洞的修复也从原来必须连接计算机手动升级变成了OTA，随着OTA技术的进一步普及，将来从漏洞发现到修复可能会在一天之内完成。这样再想大规模囤积肉鸡资源将难上加难。

而且近些年对DDOS冲击最大的并不是当年那赫赫有名的“黑洞”防火墙产品，而是各种云加速服务。越多的人使用这类CDN服务，这类服务的承载力就越大。谷歌已于几年前推出了其免费抗DDOS产品Project Shield。最近CloudFlare已经发布消息，免费开放其抗DDOS服务。从我实际了解的情况来看，目前没有1T的流量想把这两家服务打死基本上没戏。而对于用户来说，只需要动动手，改改DNS配置，就能得到世界顶级的免费抗DDOS服务。这从某种程度上来讲，是由于安全集中化、产品化、专业化，所产生的必然结果。

所以像美国上次被IoT设备DDOS攻击的情况未来并不容易出现，而且即便出现也不是银弹。反而这类事情会极大的推进OTA技术发展。

所以我感觉未来的DDOS会从现在的主流位置不断被边缘化，直到它不再有能力能影响主流业务为止。