DDOS防護體系如何建立？

如何針對DDOS攻擊達到滿意的防護效果，是擺在客戶公司和防護廠商的一道難題，對我們提成很高的要求，我們根據和客戶在實戰攻防經驗總結出以下防護體系要點。作者：銳速雲阿龍 QQ344953347 

1、應用系統開發過程中持續消除效能瓶頸，提升效能

通過各類優化技術，提升應用系統的併發、新建以及資料庫查詢等能力，減少應用型DDOS攻擊型別的潛在危害；

2、定期掃描和加固自身業務裝置

定期掃描現有的網路主節點及主機，清查可能存在的安全漏洞和不規範的安全配置，對新出現的漏洞及時進行修補清理，對於需要加強安全配置的引數進行加固；

3、確保資源冗餘，提升耐打能力

建立多節點負載均衡，準備好電信，聯通，移動，三個方向的強大防護資源，配備多線路高頻寬，配備強大的運算能力，藉此“吸收”DDoS攻擊；準備一套備用方案，隨時可以啟用備用方案。

4、服務最小化，關停不必要的服務和埠

關停不必要的服務和埠，實現服務最小化，例如WWW伺服器只開放80而將其它所有埠關閉或在防火牆上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率；

5、選擇專業的產品和服務

三分產品技術，七分設計服務，除了防護產品本身的功能、效能、穩定性，易用性等方面，還需要考慮防護產品廠家的技術實力，服務和支援能力，應急經驗等；

6、多層監控、縱深防禦

從骨幹網路、IDC入口網路的BPS、PPS、協議分佈，主機層的CPU狀態、TCP新建連線數狀態、TCP併發連線數狀態，到業務層的業務處理量、業務連通性等多個點部署監控系統。即使一個監控點失效，其他監控點也能夠及時給出報警資訊。多個點資訊結合，準確判斷被攻擊目標和攻擊手法；

7、完備的防禦組織

囊括到足夠全面的人員，至少包含監控部門、運維部門、網路部門、安全部門、客服部門、業務部門等，所有人員都需要2-3個備份。

8、明確並執行應急流程

提前演練，應急流程啟動後，除了人工處理，還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析，確定攻擊型別，自動化、半自動化的防禦策略，在安全人員到位之前，最先發現攻擊的部門可以做一些緩解措施。
    假設來攻擊了，哪種方式切換最快與有效，提前演練好切換的整個過程，列出可能存在的因素，

總結

針對DDoS防禦，主要的工作是幕後積累，在沒有充分的資源準備，沒有足夠的應急演練，沒有豐富的處理經驗，DDoS攻擊將會造成災難性的後果。