在防護DDoS時會遇到哪些問題，該怎樣解決？

有效防護DDoS攻擊 是眾多 “出海”企業 必須關注的 問題 。 近年來，隨著國內網際網路市場巨頭壟斷下的流量競爭愈演愈激烈，越來越多的企業被迫“出海”，尤其是電商和遊戲行業。

 

然而海外業務的快速擴張往往也伴隨著勢不可擋的黑暗勢力——惡意DDoS攻擊，頻繁遭受DDoS攻擊就會讓本該為使用者提供服務的資源忙於應付攻擊者的請求，導致服務端瞬間失去服務能力，難以對正常使用者的請求。

 

 

 

眾所周知，DDoS攻擊是一種非常普遍且最為有效的網路攻擊方式。法國社會學家涂爾幹曾經說過:“一個行業的先程式度與其行業的細分程度成正比。”從這個角度看，DDoS行業已經是一個高度發達、高度發展的行業。

 

DDoS攻擊行業涉及到多個利益環節，首先，會有一個軟體開發團隊專門用來負責寫木馬，木馬開發完成之後，將會交由木馬的運營團隊和銷售團隊進行銷售。而殭屍網路的運營者將會拿到這些木馬並且進行掛馬傳播，最終使客戶的主機和電腦受到入侵，成為殭屍網路中的一員，而殭屍網路最終也會成為DDoS攻擊的一個資源的提供者。另外有一波軟體開發人員，他們用來開發DDoS攻擊平臺，DDoS攻擊平臺開發完成之後，將會有DDoS開發平臺的銷售去向客戶進行銷售。而客戶最終只需要開啟一個網頁，輸入攻擊的域名或者輸入一個IP地址，就可以開展一次攻擊。

 

從這個角度大家可以看到DDoS攻擊並不是一項技術門檻非常高的攻擊手段，惡意競爭者只需要付費即可輕鬆展開一次DDoS攻擊，不需要任何的技術學習和門檻。

 

人潮熙熙，皆為利來；人潮攘攘，皆為利往。DDoS攻擊行業背後的利潤巨大，例如，基本每個遊戲上線的時候都會遭受幾次DDoS攻擊，而DDoS攻擊的來源可能是勒索組織，也可能是競爭對手。因此，企業要想出海好好發展業務，必須將防護DDoS作為業務考慮中的關鍵一環。

 

但企業在防護DDoS的同時，也將面臨兩個問題：接入防護後的代理模式將攻擊流量引導至第三方，不可避免增加延時； 防護能力越強防護成本越高，回源頻寬也是一筆很高的成本。

 

DDoS攻擊一般來說可以分成兩大類，一類是流量攻擊，一類是協議攻擊。流量攻擊，就是採用大流量的攻擊，佔滿使用者的頻寬，使得使用者的正常流量被丟棄。舉一個比較典型的例子：2018年GitHub遭遇到了史上最嚴重的一次DDoS攻擊，其峰值頻寬高達1.35T，這次攻擊就是駭客利用了memcached的反射漏洞,發起了一次反射的流量攻擊。 而 所謂協議攻擊，最常見的是syn flood攻擊，即攻擊者透過傳送大量的syn包建立大量半開連線，耗盡使用者主機的資源，從而導致使用者的主機崩潰，不能夠正常對外提供服務 。

 

而防護DDoS攻擊一般來說有兩種方式

 

一種方式就是在業務機房邊緣去做流量清洗，此時業務機房需要具備足夠大的上聯頻寬，將正常流量和攻擊流量全部收進來之後，在業務機房的邊緣還需要有一套分析裝置和一套清洗裝置，分析裝置透過對流量的映象分析，可以分析出哪個IP被攻擊了；而清洗裝置一旦發現哪個IP被攻擊之後，就會發起流量的牽引，將被攻擊的IP的所有的流量引入清洗模組；清洗模組根據攻擊的特徵篩選掉攻擊的流量，從而將正常的流量下放至客戶的源站。

 

第二種方式則是用專門的高防機房，比如說客戶的業務需要部署在自己的業務機房內，而將入口放在高防機房中。高防機房通常都有足夠大的上聯頻寬，會對流量進行清洗，從而將正常的流量透過公網回源至使用者的源站。

 

第一種方式要求業務機房有足夠大的上聯頻寬，同時每個業務機房都必須有足夠強大的清洗和分析裝置，這個條件對於很多企業來說還是比較苛刻的。而如果採用第二種專門的高防機房的方式，由於它是一種代理的模式，因此不可避免會引入額外的網路延時。此外回源機房也是需要一部分的外網頻寬的，這部分成本也是相當大的。

 

 

 

所以 企業根據可能被攻擊的量級來選擇合適的防護DDoS方式才是最好的選擇。 因為 總的來說，一個高防防護的IP地址，它的延時和它的防護能力，是魚和熊掌不可兼得的。防護等級越高，一般來說，延時會有一些比較明顯的影響。

本文來自：https://www.zhuanqq.com/News/Industry/261.html