VPS被打瘫痪，商家到底该不该赔偿？

最近圈子里的讨论热度很高，起因是一个很现实的问题：你的VPS被打了（遭受DDoS攻击），导致服务瘫痪，商家到底该不该赔偿你？

VPS遭遇DDoS攻击瘫痪示意图

当VPS遭受大规模DDoS攻击时，服务往往会直接中断。

这事儿很多站主和折腾VPS的朋友都遇到过。网络攻击这颗雷，谁也不知道什么时候会踩到。一旦中招，网站挂了、数据丢失、业务停摆，这时候找商家寻求说法，往往得到的回复是冷冰冰的“攻击触发自动防御，暂停服务”或者直接封机，更别提赔偿了。但作为消费者，我们花的钱买的是服务，服务中断了，真的只能自认倒霉吗？

要谈赔偿，先得看看商家是怎么把责任推得干干净净的。绝大多数廉价VPS商家的Terms of Service（服务条款）里都有这么一条：“不可抗力或网络攻击导致的服务中断，我们不承担责任。”

“是你活该”： 很多商家会说是你由于内容违规、得罪人或者安全措施没做好才被盯上的。这就好比你在路上被抢劫了，警察说是因为你穿得太显眼，所以不立案。
“防御成本过高”： 对于几美元一个月的VPS，商家确实不可能给每个实例配备几百G的硬防。一旦流量超标，为了保证机房其他客户的安全，他们最直接的做法就是把你Null路由（封堵）掉，任由你在工单系统里喊破喉咙。
“只赔服务期”： 最好的情况也就是给你延长几天会员时间，但对于因为宕机造成的直接经济损失（广告费、订单流失、信誉受损），他们是绝对不赔的。

理性的看： 从商业逻辑上说，廉价VPS确实属于“自助餐”模式，价格低廉意味着售后资源有限。如果是超大规模攻击导致整个机柜震荡，商家为了止损牺牲你是符合商业利益的。如果是这种情况，指望商家全额赔偿其实不太现实，毕竟他们的利润空间甚至支撑不起这场攻击产生的流量费。

但从用户权益看： 如果商家没有明确的流量监控预警机制，或者在攻击发生时毫无通知直接停机，甚至在没有备份的情况下导致数据无法恢复，那就是商家的服务瑕疵。特别是那些号称带一定防御能力的商家，如果防御没触发人先没了，那就是虚假宣传，完全有理由维权。

使用CDN隐藏源站IP示意图

利用Cloudflare等CDN服务隐藏源站IP，是防止源站被直接攻击的有效手段。

既然“追偿”很难，不如把精力放在“预防”和“止损”上。这里有几条血淋淋的经验总结：

仔细阅读SLA（服务等级协议）： 在下单前，别光看CPU和内存，一定要去找找SLA条款。如果明确写着“网络攻击不赔偿”，心里就要有个底——这玩意儿就是个一次性用品，挂了就换。
数据是自己的，命脉要握手里： 无论商家承诺多牛，异地备份永远是最后一道防线。不要等到VPS被端了才想起来数据还在那台只有5%信誉度的服务器上。定时脚本备份到对象存储（如S3兼容服务）是起码的操作。
使用CDN或高防IP做前置掩体： 对于有商业价值的站点，千万别直连VPS IP。利用Cloudflare等CDN服务隐藏源站IP，虽然是“软防”，但能挡住绝大多数扫描和中小型攻击，让你的VPS躲在后面吃瓜。
维权要有策略： 如果真的遇到了无故停机且商家态度恶劣，保留好后台截图、监控数据（如果有第三方监控）和工单记录。虽然直接起诉成本太高，但在社交媒体、评测社区曝光（客观陈述事实，别乱骂人），往往能倒逼商家为了品牌形象给出一些补偿方案，比如换一台更好的机器或者退款。

VPS被打是个概率问题，特别是对于跑敏感业务或者流量突增的网站。与其纠结“商家该不该赔”，不如把自己武装起来。毕竟，在这个数字世界里，只有做好最坏打算的人，才能睡得最安稳。

你有没有过VPS被打的糟心经历？商家最后怎么处理的？欢迎在评论区聊聊，给大家避避雷。