ucloud云和ucloud云也不能否定他們無法防御，而是他們由于是外拉帶寬的關(guān)系，防御成本太高了，很多用戶無法承受這么高昂的防御費(fèi)用，面對(duì)大的流量攻擊問題，建議大家用直營機(jī)房的機(jī)器，價(jià)格對(duì)比某些知名云要低，但是防護(hù)效果要好很多，因?yàn)橹睜I機(jī)房是和電信機(jī)房合作，擁有充足的帶寬環(huán)境做防御，能讓你對(duì)比某些平臺(tái)花更少的錢得到更好的防護(hù)能力

這個(gè)問題在我們2017年撰寫過的文章里針對(duì)DDoS攻擊量級(jí)、特點(diǎn)以及本地防御的缺陷有過具體分析，過去了將近兩年，DDoS的攻擊量級(jí)必然有了大幅增長，但是它本身使用的技術(shù)手段、常見類型與之前差別是不大的，所以我把那篇文章去掉一些無用信息，貼上來給大家參考下。

過去的2016年，對(duì)于全球網(wǎng)絡(luò)安全來說可能是歷史上最黑暗的一年之一。

這一年里，一系列影響重大的安全事件接連曝出，用“令人印象深刻”已不足以形容。

透過這些事件，我們看到了過去一年全球網(wǎng)絡(luò)安全形勢的一些新變化。而其中最令人矚目的變化之一當(dāng)屬DDoS攻擊在規(guī)模和殺傷力上的戲劇性驚人增長。

......

在2016年初，我們所注意到的最大規(guī)模DDoS攻擊流量大約為500Gbps。

而在2016年的后幾個(gè)月，我們發(fā)現(xiàn)有多重DDoS攻擊流量接近突破1Tbps。

這些DDoS攻擊皆由黑客們通過基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)（IoT-based botnet，比如Mirai的變種）發(fā)起，并以此牟利。

相比這些觸目驚心的數(shù)字，一個(gè)有趣的事實(shí)是絕大多數(shù)DDoS攻擊流量數(shù)值要小的多的多。根據(jù)Arbor公司2016年ALTAS統(tǒng)計(jì)報(bào)告，80%的DDoS攻擊流量要小于1Gbps。

......

這是怎么一回事？

對(duì)于容量耗盡型DDoS攻擊（volumetric DDoS attacks）來說，它并不需多大規(guī)模即可造成影響，它只需要與你的網(wǎng)絡(luò)管道一樣大。換言之，發(fā)動(dòng)一次容量耗盡型DDoS攻擊要比想象中容易的多。

而在我印象里，大部分機(jī)構(gòu)（當(dāng)然不包括服務(wù)提供商）的公網(wǎng)帶寬要小于1Gbps，這也意味著它們面臨DDoS攻擊威脅時(shí)會(huì)非常脆弱。

下面是另一項(xiàng)統(tǒng)計(jì)，根據(jù)Arbor公司發(fā)布的第十二份《全球基礎(chǔ)設(shè)施安全報(bào)告》，41％的企業(yè)和政府機(jī)構(gòu)和60％的數(shù)據(jù)中心運(yùn)營商報(bào)告他們所受到的DDoS攻擊超過了互聯(lián)網(wǎng)總帶寬。

歷史上，發(fā)動(dòng)一次DDoS攻擊從未像現(xiàn)在這般容易，一次持續(xù)一小時(shí)的攻擊甚至僅需5美元。

與此同時(shí)，很多機(jī)構(gòu)對(duì)于DDoS攻擊威脅卻依然保留著一些錯(cuò)誤認(rèn)知。

◆ 一些人認(rèn)為自己不會(huì)成為攻擊的目標(biāo)，即便遇到DDoS攻擊造成的服務(wù)中斷，他們也會(huì)將之歸咎于設(shè)備故障或者操作失誤。

◆ 而另一些人則認(rèn)為僅靠防火墻、入侵防御系統(tǒng)(IPS)這樣的基礎(chǔ)設(shè)施以及由互聯(lián)網(wǎng)服務(wù)提供商（ISP）/內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）提供的單層防護(hù)即可抵御威脅。

然而，指望這種防護(hù)便能遠(yuǎn)離DDoS攻擊威脅終究只是美好的愿望。

◆ 首先，防火墻/IPS作為狀態(tài)型設(shè)備，在進(jìn)行網(wǎng)絡(luò)連接的狀態(tài)檢測時(shí),易被作為DDoS攻擊目標(biāo)。

◆ 其次，ISP/CDN提供的單層防護(hù)無法為關(guān)鍵業(yè)務(wù)應(yīng)用程序提供足夠的保護(hù)。

如今，我們?nèi)巳硕伎赡艹蔀镈DoS攻擊的受害者。因此將多層防御體系DDoS防護(hù)產(chǎn)品作為保險(xiǎn)性投資無疑必要且迫在眉睫。

一個(gè)顯而易見的事實(shí)是，面對(duì)那些足夠撐爆網(wǎng)絡(luò)管道的資源耗盡型攻擊，只有一個(gè)方法可以讓你的機(jī)構(gòu)免于威脅，那就是連上上游互聯(lián)網(wǎng)服務(wù)提供商（ISP）或者安全托管服務(wù)提供商（MSSP）進(jìn)行云上防御。

......

那么具體如何處理DDoS攻擊威脅呢？

充分的準(zhǔn)備是抵御DDoS攻擊的關(guān)鍵，你需要完成以下兩步來應(yīng)對(duì)威脅。

— 第一步 —

在本地部署應(yīng)用層阻止DDoS攻擊，在本地部署環(huán)境能更有效保護(hù)那些最重要的服務(wù)。確保本地部署內(nèi)嵌專用產(chǎn)品可以阻止外來DDoS攻擊及其他威脅。這些產(chǎn)品部署在防火墻之前，他們也可以用于阻止“受傷”主機(jī)訪問外部。

另外，由于DDoS攻擊發(fā)起時(shí)毫無征兆，于是自動(dòng)化便成為防范DDoS攻擊中的關(guān)鍵。本地部署產(chǎn)品需要能夠完成自動(dòng)檢測，并在察覺即將被大規(guī)模容量耗盡型DDoS攻擊攻陷時(shí)，能夠通過云信令（Cloud Signal）來請(qǐng)求云上支援。

— 第二步 —

下一步則是在線路被攻擊流量占滿或者現(xiàn)場安全設(shè)置被攻陷之前，在云上阻止容量耗盡型DDoS攻擊。理想的系統(tǒng)是這樣的，本地部署檢測設(shè)施在受到DDoS攻擊時(shí)，與上游通信，動(dòng)態(tài)重新規(guī)劃路由網(wǎng)絡(luò)，將流量引入到清洗中心（scrubbing center），在那里將惡意DDoS流量清洗掉，然后干凈的流量再被引出。而這正是應(yīng)對(duì)大規(guī)模攻擊的關(guān)鍵。

最后，云上和本地部署兩個(gè)環(huán)境之間需要能夠進(jìn)行智能通信，以阻止動(dòng)態(tài)多重矢量攻擊。你得確保解決方案能持續(xù)獲取威脅情報(bào)支持，以進(jìn)行相應(yīng)處理。

DDoS僅需要在規(guī)模上與你的互聯(lián)網(wǎng)管道同等大小，便可對(duì)所在組織網(wǎng)絡(luò)安全產(chǎn)生影響。為最小化DDoS攻擊影響，始終開啟檢測和云上自動(dòng)緩解清洗當(dāng)是明智之選。

OK，作為一枚企業(yè)資訊我們，科普結(jié)束后打個(gè)廣告↓↓↓

青松云安全作為專業(yè)安全托管服務(wù)提供商（MSSP），擁有自主研發(fā)多層級(jí)防御體系，混合云方案同時(shí)具備本地私有云實(shí)時(shí)檢測高響應(yīng)低延遲特點(diǎn)和公有云面對(duì)大規(guī)模流量攻擊的清洗優(yōu)勢，速度安全亦可兼顧，精確全面的設(shè)計(jì)為緩解DDoS攻擊提供強(qiáng)勁助力。

感謝邀請(qǐng)！

DDoS攻擊是一種最常見的網(wǎng)絡(luò)攻擊，它是通過TCP/IP協(xié)議的三次握手進(jìn)行攻擊的。是通過偽造大量的源IP地址，然后分別向服務(wù)器端發(fā)送大量的SYN包，這個(gè)時(shí)候服務(wù)器端會(huì)返回SYN/ACK 包，而偽造的IP端不會(huì)應(yīng)答，服務(wù)器端沒有收到偽造的IP的回應(yīng)，會(huì)進(jìn)行重試機(jī)制，3~5次并等待一個(gè)SYN的時(shí)間（30s-2min），如果超時(shí)則丟棄。通過大量的網(wǎng)絡(luò)請(qǐng)求，消耗服務(wù)器的資源。完全防護(hù)這種攻擊還是蠻有難度的。一般會(huì)有幾種方式：

方法1：

路由器、交換機(jī)、硬件防火墻等設(shè)備采用一些知名度高、口碑好、質(zhì)量高的產(chǎn)品，假如攻擊發(fā)生的時(shí)候用流量限制來對(duì)抗這些攻擊是可行的方法。另外使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP

方法二

在應(yīng)用程序中對(duì)每個(gè)“客戶端”做一個(gè)請(qǐng)求頻率的限制，或者從網(wǎng)站的代碼上實(shí)行優(yōu)化。將數(shù)據(jù)庫壓力轉(zhuǎn)到內(nèi)存中，及時(shí)的釋放資源。顯示每個(gè)IP地址的請(qǐng)求頻率，根據(jù)IP 地址和 User Agent 字段，進(jìn)行過濾。

方法三

部署CDN,CDN可以把網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個(gè)服務(wù)器，可以進(jìn)行帶寬擴(kuò)容，增大訪問量，提高承受攻擊的能力。

最簡單的辦法就是把網(wǎng)頁做成靜態(tài)頁面的。

些許拙見，供您參考。

從事互聯(lián)網(wǎng)開發(fā)多年，歡迎大家騷擾

覺得可以是加大出口帶寬，而是不公布帶寬（人家可以測），分布式部署。web服務(wù)器備份，并且與數(shù)據(jù)庫服務(wù)器分開。在安全設(shè)備上設(shè)置規(guī)則，過濾僵尸網(wǎng)絡(luò)可疑數(shù)據(jù)泛洪。哈哈

目前沒有什么特別有效的辦法能根除DDos攻擊，搞這個(gè)的黑客著實(shí)有些缺德。

DDos的難以防范來源于它的攻擊模式

簡單來講，DDos攻擊就像是“占著板凳不吃涼粉”。舉個(gè)例子，我和張三都是做餐飲的，張三見到他生意做的沒我紅火，就叫了一批小混混，把我店里的座位都占滿卻不點(diǎn)菜，讓其他想吃飯的顧客也吃不了。但我也沒什么辦法，因?yàn)槲曳植磺迥男┦钦嬲齺沓燥埖南M(fèi)者，哪些是來搗亂的。

DDos就是這樣一種令人崩潰的攻擊手段，它會(huì)在短時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量申請(qǐng)，而“公正無私”的服務(wù)器對(duì)于請(qǐng)求信息一視同仁，來一個(gè)處理一個(gè)。寶貴的主機(jī)資源被嚴(yán)重浪費(fèi)，最終導(dǎo)致目標(biāo)主機(jī)崩潰。近些年來DDos攻擊造成的事故屢見不鮮，游戲，金融等行業(yè)成了重災(zāi)區(qū)。

雖然DDos無法根除，但可以做到一定程度的提前防范。

目前業(yè)界針對(duì)DDos共計(jì)主要有以下幾種處理方式，咱們還是用先前舉的開飯館的例子：

1.高防服務(wù)器

為了應(yīng)對(duì)這群搗亂的小混混，我花大價(jià)錢請(qǐng)了一批兇神惡煞的保安，把那些一眼看上去就不像好人的家伙統(tǒng)統(tǒng)拒之門外；

這里的“保安”就是高防服務(wù)器，像ucloud，ucloud這些財(cái)大氣粗的公司會(huì)選擇購置高防服務(wù)器，不僅能獨(dú)立硬防御 50Gbps 以上的服務(wù)器，還能定期巡邏，極大的提升了安全性；

2.設(shè)置黑名單

保安雖好，但是花銷太大，一個(gè)月的工資比我這個(gè)老板掙得都多。所以我決定親自出馬，將一批看上去像小混混的直接轟出門外（很大程度上會(huì)誤傷正常食客），并將他們一一拍照紀(jì)錄，不讓他們踏進(jìn)飯店半步。

同樣的道理，高防服務(wù)器哪里都好，就是貴的離譜，一般的小公司根本承受不起。所以他們選擇親自出馬，選擇出異常請(qǐng)求剔除出去，再加入黑名單?？梢哉f是“寧可錯(cuò)殺一千，也不放過一個(gè)”。

3.CDN加速

再退一步，假如我既請(qǐng)不請(qǐng)保安，眼神也不好分辨不出誰是搗亂的。秉承著“惹不起還躲不起”的原則，干脆轉(zhuǎn)型不做實(shí)體店了，全部轉(zhuǎn)到線上送外賣，張三再也為難不到我了。

這就是CDN，即內(nèi)容分發(fā)網(wǎng)絡(luò)的好處，這種網(wǎng)站架構(gòu)將流量分配到了各個(gè)節(jié)點(diǎn)中，即使遭到了DDos攻擊，也能保證只是一部分內(nèi)容受損，源站不會(huì)崩潰，也是目前最受關(guān)注的一種防攻擊模式。

隨著 DDoS 攻擊工具不斷的普遍和強(qiáng)大，互聯(lián)網(wǎng)上的安全隱患越來越多，以及客戶業(yè)務(wù) 系統(tǒng)對(duì)網(wǎng)絡(luò)依賴程度的增高，可以預(yù)見的是 DDoS 攻擊事件數(shù)量會(huì)持續(xù)增長，而攻擊規(guī)模也會(huì)更大，損失嚴(yán)重程度也會(huì)更高。但魔高一尺道高一丈，我們總會(huì)有更好的辦法來對(duì)抗它！

可以安裝360網(wǎng)站衛(wèi)士，網(wǎng)站衛(wèi)士是360旗下為網(wǎng)站提供免費(fèi)加速和防護(hù)的云服務(wù)平臺(tái)。為站長免費(fèi)提供了網(wǎng)站加速,智能高防DNS,防DDOS,防CC,防黑客和網(wǎng)站永久在線等服務(wù),

如何正確防御DDoS攻擊？

傳統(tǒng)的防御思想都是單一的，如增加帶寬，買ADS設(shè)備，買DDoS防火墻，用云端和本地代替等等。有一些方法確實(shí)可以緩解，但是對(duì)企業(yè)來說，在攻擊越來越復(fù)雜的當(dāng)下做好全面防護(hù)難度很大。

這時(shí)候，企業(yè)往往需要第三方的抗DDoS服務(wù)商來提供安全支持。作為企業(yè)在選購抗DDoS業(yè)務(wù)時(shí)，必須要考察以下幾點(diǎn)：

1. 有多少節(jié)點(diǎn)？
2. 機(jī)房最大能抗多少流量峰值？
3. 機(jī)房數(shù)量以及穩(wěn)定性？
4. 支持測試么？
5. 價(jià)格是否合適？
6. 是否可以實(shí)時(shí)展示，并有效通知？
7. 遭受攻擊或者不穩(wěn)定影響業(yè)務(wù)時(shí)，是否可以支持排查問題？

DDoS防御需要選擇專業(yè)安全服務(wù)商

螢光云累計(jì)了海量的DDoS防御經(jīng)驗(yàn)。配合有7*24小時(shí)的專家服務(wù)，全業(yè)務(wù)支持等能力，可以根據(jù)不同業(yè)務(wù)的特點(diǎn)，以不同的安全策略，努力幫助企業(yè)用戶做到不再懼怕DDoS攻擊。

你得有相應(yīng)的網(wǎng)絡(luò)安全設(shè)備及足夠的帶寬，否則你的防火墻再牛也會(huì)耗盡資源導(dǎo)致無法訪問。

買高防服務(wù)噐

可以選擇ucloud云的ddos攻擊防御方案試試