DDOS云防护方案，3大要素4点建议！

CDN5如何提供云 DDoS 保护

为了应对DDOS攻击，CDN5向开发者推出云防护服务，这些服务可以通过原生或集成的方式来保护目标， 作为纵深防御网络保护模型的最外层，DDoS云保护服务可以帮助提高整个云网络基础设施的可用性和弹性。  
什么是DDOS云防护？ 
DDOS云防护与传统的依赖物理硬件和本地资源的防护不同，它是一种利用云基础设施，使用分布式云资源来检测，缓解吸收DDOS攻击流量，来防御DDOS的安全解决方案。 
基于云的DDOS防护工作原理： 云防护中心将流量路由到基于云的清洗中心分析，检测和吸收，恶意流量拦截，将合法的流量返回源站。与传统的DDOS防护相比，云防护的响应时间相对减慢，因为流量必须先经过云。然而，基于云的DDOS防护优势也很明显，具体如下： 

• 灵活扩展：DDOS云防护基于CSP广泛基础设施，提供灵活的扩展性，可以动态扩展和防护超大规模的攻击。
• 智能检测：基于云研发的机器学习算法和行为分析，可以精准解决本地防护可能会漏掉的应用层DDOS攻击
• 成本较低：利用CSP的大量广泛资源，云防护可有效降低防护成本。
• 部署灵活：与ISP标准化的产品相比，DDOS云防护商可以根据用户需求定制解决方案

更多方案查看：https://www.cdn5.com/solutions

选择DDOS云防护时应该考虑那些因素

 1.成本：目前市场有按量付费的，也有按月固定收费的，本质上讲，如果没有攻击，自然是按量付费划算，如果有攻击，按量付费可能导致天价账单。另外，DDOS防护成本更应该参考性价比，而不是单纯价格。 
 2.防护商专业性：例如CDN5多年来，一直在打击DDOS攻击，从无败绩，而其他服务商可能属于初创公司或者在这DDOS防护经验较少，所以选择之前应该先进行压测或者试用。 
  3.响应能力。如果是中文用户，尽可能选择向CDN5这样拥有专业中文技术支持的企业，能提供全天候响应支持，及时解决问题，确保服务稳定运行。  

预防DDoS攻击的核心要点

1.实施多层防护 
大概5-10年前，DDOS攻击一般是第3-4层（攻击网络传输层），如今DDOS攻击形式已经遍布不同层（网络层、传输层、会话层、应用层）或是多层组合攻击，甚至，攻击者还会伪造及变种一些新方法，策划极度复杂的攻击。所以，预防DDOS就必须实施多层防护方案，如果是选择CDN服务商，那么服务商就必须具有灵活的扩展性。参考阅读：常见的DDoS攻击类型 
2.智能识别攻击类型 
一般来说，目前常见的三种DDOS攻击类型分别是第7层，应用层和HTTP泛洪，基于人工的分析响应非常缓慢，而智能识别就能快速检测攻击类型，并且根据特征，正对性的启用防御机制，比如，过滤特定的URL及流量，IP地址，能有效缓解攻击开始时对服务造成的影响。 
3.减少攻击面暴露 
为了最大限度地降低 DDoS 攻击的风险，减少暴露面给攻击者至关重要。以下是一些有效的策略： 
隐藏源IP：通过接入CDN隐藏源IP暴露。 
网络分离：比如将web服务放在公网中，将数据库服务放在私有子网中，制定非自有主机访问数据库。  
地理限制：限制部分没有提供服务地区的访客。 
程序安全：删除不必要的功能，保持应用或网站的纯净，减少各类不必要的端口。  
4. 实施黑洞路由 
黑洞路由是一种用于在恶意流量到达目标网络或服务器之前将其丢弃的技术。这需要配置路由器或交换机，将流量发送到空接口，即“黑洞”，从而有效地丢弃流量。黑洞路由通常用于阻止来自被识别为攻击源的特定 IP 地址或子网的流量。  
​参考阅读： 
如何防止DDOS攻击 
DDOS攻击防御方案 

本文作者：CDN5技术部工程师/Angus，中文矫正/Harry Wu