如何低成本做到有效的防御DDoS攻擊
相信大家應該還沒有忘記 2009 年 5 月 19 日的全國性斷網事件，導致全國性斷網的起因是一次DDoS網絡攻擊，事件過去快十年了，隨著互聯網的高速發展和深入應用，現在網絡攻擊態勢怎么樣了呢？
通過下面這一張圖表，我們可以直觀的看出，隨著互聯網的高速發展和深入應用，全球范圍內的DDoS攻擊亦隨之呈現了上揚趨勢。下圖是通過中國電信旗下網站截取的統計圖表，圖內展示了從 2013 年 1 月至今的 5 年內，全球范圍內DDoS攻擊趨勢圖。

中國電信旗下網站展示的 2013 年至今 5 年內DDoS攻擊趨勢

從上圖可以看出，近年來DDoS網絡攻擊處于高發時期，同時DDoS攻擊會給整個利用互聯網經營的企業，帶來非常大的經濟損失，是令全球企事業單位甚至個人用戶頭疼的事情。習總書記在 2014 年"中央網絡安全和信息化領導小組第一次會議"時就指出：沒有網絡安全，就沒有國家安全。面對如此嚴峻的形式，就拿DDoS網絡攻擊真的就沒有更好的防御措施嗎？

到底什么是DDoS攻擊呢？
分布式拒絕服務攻擊攻擊（Distributed Denial of Service），也就是常常被大家簡稱為DDOS的網絡攻擊。

百度百科對DDoS攻擊的定義相對抽象：分布式拒絕服務（DDoS）攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

本文引用支付寶阮一峰在其博客的舉例，來形象的告訴你DDoS是如何發動攻擊的：我開了一家餐廳，正常情況下，最多可以容納 30 個人同時進餐。你直接走進餐廳，找一張桌子坐下點餐，馬上就可以吃到東西。但是很不幸，我得罪了一個流氓，他派出 300 個人同時涌進餐廳，這些人看上去跟正常的顧客一樣，每個都說"趕快上餐"。但是，餐廳的容量只有 30 個人，根本不可能同時滿足這么多的點餐需求，加上他們把門口都堵死了，里三層外三層，正常用餐的客人根本進不來，實際上就把我的餐廳給癱瘓了。

這就是DDoS 攻擊的原理和導致的后果，它能在短時間內發起大量的訪問請求，耗盡網絡資源或服務器資源，讓網絡癱瘓或者服務器無法響應正常的訪問，最終造成網站實質性的無法訪問。

從技術角度講，DDoS攻擊不是一種攻擊，而是一大類攻擊的總稱，它有幾十種類型，而且新的攻擊方法還在不斷被發明出來，比如SYN/TCP/UDP/ICMP Flood，及其變種Land/Teardrop/Smurf/Ping of Death，最常見的就是CC攻擊。

抵御DDoS的難點？
前面已經敘述過DDoS攻擊的特點，主要是消耗掉被攻擊目標的硬件、網絡等資源，導致正常的請求無法抵達目標服務器。那么，過濾掉這些非正常的流量就變得很重要了，但是識別、處理并過濾掉這些攻擊流量，是人工無法實現的，是需要耗費大量服務器、網絡帶寬等等資源的，換句話說成本是比較高的，普通用戶是很難搭建起如此龐大的防御網。

高成本，這就成了抵御DDoS攻擊最大的難點。

如何有效的抵御DDoS攻擊？
簡單來說，就是實現攔截惡意請求。
要實現"攔截惡意請求"的背后，需要投入巨資，配套諸多的軟硬件及策略做支撐，比如，專業硬件防火墻，更大的帶寬容量、更多的IP地址、更專業的防護策略等等，有了這一整套解決方案，方能做到精準識別并攔截。因為這種做法的投入比較大，一般服務商比較難以支撐，所以并不是所有服務商都具備如此能力。

為了更加有效的抵御DDoS攻擊，并降低用戶的防御成本，更多的服務商選擇為整個數據中心賦予這樣的防御能力。比如，國內老牌云服務提供商西部數碼，成立十六年來，專注于互聯網接入服務，服務中國數十萬網站，深知用戶的痛點并積極尋求解決方案。最終西部數碼選擇與運營商合作，共建了一個T級帶寬接入的高防數據中心，并配套了一整套完整的硬件防護設備，通過這樣的解決方案，整個在這個數據中心的用戶將受到保護，并采用類似SaaS方式面向用戶提供抵御DDoS服務降低用戶使用成本。

西部數碼這樣的解決方案，有如下優勢：

一、 海量防護帶寬容量。前文敘述過，當DDoS來臨之際，帶寬作為非常重要的資源，將率先迎接挑戰，而西部數碼高防數據中心1T超大防護帶寬的接入，單機最高可提供500G的惡意流量攻擊防御與清洗需求，可滿足各類用戶需求。

二、 適用多類攻擊。配備硬件云集群防火墻針，經過實際測試，可針對各類DDoS泛洪攻擊，如SYN、TCP、UDP、ICMP Flood，及其變種Land、Teardrop、Smurf、Ping of Death等均有顯著防御效果。

三、 黑洞自動解封。當DDoS攻擊停止或流量低于防御峰值，系統封禁狀態自動解除，無需等待，減少業務不可用時間。

四、 全業務場景接入支持網站和非網站防護接入，為ERP、郵局、OA等企業應用以及游戲、電商、流媒體等提供有效防護。

五、 流量實時監控在DDoS攻擊來臨之時，還可提供攻擊流量日志記錄、多維度防御圖表，幫助用戶隨時掌握業務受攻擊情況，部署并啟動應急預案。

六、 更低成本實現更有效的防御。在數據中心層面部署硬件防護措施，并充分利用數據中心的事實可調配超大帶寬，不用每一位有需求的用戶都去部署防護，采用包月等形式支付服務費用，即可以實現有效的防護，還可以為用戶節省至少90%的成本。西部數碼還向用戶免費提供30G基礎防御，獨立的防護資源，可抵御多類DDoS攻擊。

綜上所述，DDoS攻擊確實存在難點，但也并不是沒有對應的解決方案，站在企業運維角度，在被攻擊時同時還需要及時報警，并積極配合警方調查取證；同時，雖然有了應對的解決方案，自身也還是需要更加重視網絡安全，做好日常的維護監控措施及應急預案。

來源：站長之家