甲方视角谈谈如何抵御DDoS攻击

提要：大多数互联网公司的业务主要依赖在线服务，DDoS攻击作为最简单有效的攻击手段，经常被黑产作为攻击互联网在线服务的首选。本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及甲方经常遇到的一些问题，希望可以帮助到大家。

成都创新互联公司是专业的厦门网站建设公司，厦门接单;提供网站设计制作、网站制作,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行厦门网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

为何攻击我们网站

简单讲就是谁火灭谁，前年打P2P，去年打直播，DDoS攻击的背后多是恶性商业竞争，以不大的成本可以让竞争对手业务中断，造成巨大损失，性价比不可谓不高。

一般何时容易被攻击

理解了攻击动机后，其实很容易总结何时容易被攻击：

新产品发布，比如罗老师发布锤子那次
大型市场活动，比如电商的双十一和双十二
业务高峰期，比如直播和在线教育业务的晚上

DDoS攻击成本大吗

用安全圈的一句话，在国外打垮一个网站需要一顿自助餐的钱，在国内只需要一顿快餐的钱。随便在某及时通讯软件里面一搜：

攻击类型有哪些

DDoS攻击的类型非常多，但是从甲方角度讲，从结果来说就是两种：

流量型攻击，就是把你带宽打满，用户无法正常访问导致业务中断，衡量单位是G
CC攻击，就是把你重要的接口服务打死，流量不一定很大，但是请求速率一般很大，比如登陆，下单，支付等，衡量单位是QPS

硬件防火墙和WAF可以抵御DDoS攻击吗

这是个开放性的问题，需要区分不同情况(这里的机房带宽指的是机房给你分配的带宽)：

如果是流量型攻击，攻击流量小于机房出口带宽时，具备防DDoS攻击能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时，只能遗憾了。
如果是CC攻击，攻击流量小于机房出口带宽时，具备防CC能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时，只能遗憾了。

遗憾的事，相当一部分DDoS攻击轻松上几十G，用户购买的出口带宽上1G的都不多。可见，面对现实中的DDoS攻击时，本地的硬件防火墙和WAF作用有限。

常见的抗D手段有哪些?

从甲方角度讲，可以按照抗D设备/服务部署的位置分为：

自购带有抗D抗CC功能的硬件防火墙或者WAF
机房的流量清洗服务，比如高防机房
云安全厂商的云抗D服务(CDN厂商提供的流量清洗服务也算这种情况)
运营商(比如电信云堤)的流量清洗服务

近源清洗是啥原理

云抗D是啥原理

云抗D服务和CDN接入原理类似，使用的是所谓替身防护的技术。用户在DNS服务器上将需要保护的web服务的域名指向云抗D中心提供的高防IP或者CNAME域名，云抗D中心将访问该web服务的请求再转发给用户的业务服务器，相当于充当了一个nginx反向代理，针对该web服务的攻击会被云抗D中心清洗，正常的用户请求才会转发给用户的业务服务器。

使用云抗D黑客直接打IP咋办

问题也就来了，黑客如果直接攻击用户业务服务器的IP，就会绕过云抗D中心。为了防止这种情况出现，最简单的解决方案是，用户的业务服务器提供两个IP，IP1是平时使用的，对外暴露，IP2平时不使用，同时限制IP2仅允许云抗D中心的IP段访问，一旦切入云抗D中心后，联系机房拉黑IP1，同时启用IP2即可，通常IP1和IP2可以指向同一服务器或者负载均衡。

使用云抗D后如何获取客户端真实IP

这个和使用CDN情况类似，比较常见的解决方案是在http协议层携带客户端的IP，比如x-forwarded-for字段。

三线与BGP抗D的区别

在国内现实的问题跨网访问的巨大延时，为了解决这个问题，通常有两种简单办法，一个是申请联通电信移动三网的IP资源，一个是使用相对昂贵的BGP资源。对应的抗D云服务也提供了三线和BGP服务，本质上区别就是一个需要做分区解析，一个不用，价格上一般BGP高防会贵些，从跨网访问来看两者都不错。

常见的云抗D厂商有哪些

百度安全的ADS，阿里云的高防IP，腾讯的大禹，知道创宇的抗D保等，主流云厂商也有自己的抗D服务。

分享文章：甲方视角谈谈如何抵御DDoS攻击
本文来源：http://www.mswzjz.cn/qtweb/news20/242720.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：贝锐智能

贝锐智能技术为您推荐以下文章