DDOS如何防御，三种典型应对方法详解！

近年来，各类网络攻击事件频发，规模与日俱增，形式层出不穷。仅以常见的 DDoS（Distributed Denial of Service） 攻击为例，根据网站安全管理公司 Cloudflare 2023 年第四季度发布的数据，网络层 DDoS 攻击同比增长了 117%。此外，被监测到的 DDoS攻击规模也呈非线性高速增长态势，从 2019 年的 3M rps 增长到 2023 年的 201M rps。

（笔者注：“M rps”是攻击规模的单位，表示被攻击方每秒收到的攻击请求数，数量越大表示攻击规模越大，强度越高。）  

图片：Cloudflare 近年观测到的最大 DDoS 攻击规模（引用自 Cloudflare官网）  

除了 DDoS 攻击以外，中间人攻击、网络钓鱼攻击、密码攻击、SQL 注入式攻击等各种网络攻击事件不绝于耳。  

DDOS攻击原理

DDoS 攻击的中文全称为分布式拒绝服务攻击，其攻击原理简单粗暴，旨在通过向目标网站（服务器）发送超过其处理能力的庞大流量来造成其瘫痪，使其无法为用户提供服务。更多参阅：什么是DDOS攻击？​    
这好比有一家餐厅（网站），正常情况下能同时为 100 人（网民）提供外卖送餐（内容）服务，突然来了 10000 名陌生的顾客（DDoS 攻击源，俗称“肉鸡”），恶意下了 10000 张外卖送餐的订单（DDoS 攻击请求），又在几分钟内取消，使得餐厅疲于应对，进而难以甚至无法给正常的顾客提供服务。  

DDOS攻击为什么易攻难防？

经过多年的发展，DDoS 攻击演变出了多种不同的类型，常见的有以下三类。    
HTTP 请求密集型 DDoS 攻击，通过发送超过 HTTP 服务器处理能力的请求来造成服务拒绝事件。    
IP 数据包密集 DDoS 攻击，通过发送超过路由器、防火墙和服务器处理能力的数据包来造成瘫痪。    
流量密集型攻击，通过饱和及堵塞互联网连接来造成“交通堵塞”。更多内容访问：常见的DDoS攻击类型    
此外，虽然每种类型的 DDoS 攻击各有特点，但它们的相同之处是攻击原理，以及易攻难防。    
为什么易攻？因为 DDoS 的攻击原理简单，关键在于获取足够的“肉鸡”。“肉鸡”指的网络上被黑客控制用于发动 DDoS 攻击的计算机或终端。据悉，在国际黑市中，租用 1000 台“肉鸡”同时发动 1 小时 DDoS 攻击的价格还不到 10 美元，成本非常低廉。另据中国国家计算机应急处理中心发布的数据，2023 年中国计算机病毒感染率为 70.51%，这也侧面地印证了互联网上“肉鸡”的数量之多。    
为什么难防？从根本上讲，是因为它的无规律性，或者说，无法通过简单的技术手段对攻击流量进行甄别。具体来讲，笔者归纳了以下三点。  

• 来源多且分散：DDoS 攻击的攻击源是受黑客控制“肉鸡”，它们广泛地分布在互联网的各个角落，这种分布式的特点使得我们无法简单地针对地域或源 IP 地址的规律对攻击流量进行拦截。
• 流量大且突然：由于攻击成本低廉，只要 DDoS 攻击方愿意，他可以在短时间内调动足够多的“肉鸡”，突然发起大流量攻击，让被攻击方束手无策。
• 规律少且变化：此外，攻击方还可以根据实时状况，动态地调整攻击的策略，例如对攻击强度、类型与方向进行调节，以取更好的攻击效果，让被攻击方防不胜防。

DDOS如何防御？

为您详细介绍应对 DDoS 攻击的三种典型防御手段，分别是黑洞路由、高级防护和近源清洗。  

一：黑洞路由

首先我们来介绍第一种防御手段——黑洞路由。顾名思义，就是当 DDoS 攻击发生后，为了防止影响进一步扩大，客户网络向运营商网络通告一条关于受攻击服务器 IP 的黑洞路由，运营商网络收到黑洞路由后，随之停止对外通告关于该 IP 的路由，这时受攻击的 IP 地址便像从互联网中消失了一般，无法再被任何主机访问到——相当于在互联网上制造了一个路由的“黑洞”。

为了方便您更好地理解，笔者为您举个例子。如下图所示，客户网络中有 A、B、C、D 四台服务器，共用某运营商提供的互联网接入服务。突然，服务器 A 受到了来自互联网的 DDoS 攻击，服务器 A 很快就因为负载过重而瘫痪，无法对外提供服务了。更要命的是，由于攻击流量持续汹涌而至，客户网络上连的互联网出口也出现了严重的流量拥塞，这使得未被攻击的服务器 B、C 和 D 也无法正常对外提供服务。    

就在这千钧一发之际，客户网络对上游运营商“大吼”一声：“服务器 A 已死！”。运营商收到消息后，也随之互联网的四面八方“叫道”：“服务器 A 已死，别再通过我找他了！”。于是，一传十，十传百，整个互联网中都传遍了服务器 A 的死讯。     
就这样，互联网上所有的主机，包括“肉机”和正常电脑，均找不到服务器 A 了，DDoS 攻击流量和正常流量在互联网的边缘便被丢弃，网络拥塞的情况也随之解除，正如下图所示。  

这就是黑洞路由的工作原理。细心的读者可能会发现，黑洞路由的副作用非常大，因为正常流量也受到了影响。因此，用黑洞路由防御 DDoS 攻击的本质是“弃车保帅”，通过牺牲被攻击的服务器，解除网络拥塞，来保全客户网络。  

二：高级防护​​

黑洞路由虽然有效制止的 DDoS 攻击，但毕竟有着不小的副作用。有没有副作用小一些防御方式呢？答案是高级防护。    
如下图所示，高级防护需要通过清洗中心来实现。它的工作原理是这样的：  

首先，清洗中心与互联网通过超大带宽相连接，可以承诺大流量的 DDoS 攻击；其次，清洗中心部署了流量分析和过滤的设备，能对将攻击流量和正常流量分辨出来，并过滤攻击流量；再者，清洗中心类似中介，它会向互联网通告客户网络的路由，将访问客户网络的流量引到自己身上。如此一来，当发生 DDoS 攻击时，清洗中心便能利用强大的带宽容量以及流量分析过滤能力“扛住”攻击，只将正常的访问请求发送给服务器 A，进而既保护了服务器 A，又保护了整个客户网络。    
通俗地讲，清洗中心就像是客户网络的保镖兼经纪人，所有需要访问客户网络的流量均需要经过保镖，武艺高强的保镖能为客户挡住所有的不速之客，而只给好人放行。  

用高级防护对抗 DDoS 攻击的本质是“用资源换安全”，通过大带宽的网络和高性能的流量分析过滤系统，“硬扛”DDoS 攻击。此外，高级防护加长了流量的路径，引入了清洗中心，这会在一定程度上增加业务的时延，可能会影响用户的访问体验。  

三：近源清洗​​

高级防护虽然能有效地保护被攻击的服务器以及客户网络，但那毕竟是以消耗带宽资源和算力资源为代价的。有没有更加智能而节省资源的方式呢？答案是近源清洗。如下图所示，近源清洗由清洗调度中心和运营商的边缘网络协同实现。它的工作原理是这样的：清洗调度中心会对互联网中的流量进行实时监测分析，一旦发现 DDoS 攻击流量，便将其引导到就近的边缘节点进行分布式的清洗，从源头上压制 DDoS 攻击，达到“四两拔千金”的效果。  

需要指出的是，近源清洗需要“云边协同”才能实现，即不仅要有对流量的分析能力，还需要能调度边缘的网络设备对流量进行过滤，因此近源清洗是运营商独特的优势。   

总结：

黑洞路由、高级防护和近源清洗是目前业内三种防御 DDoS 攻击的有效手段， 由于性能效果、适用场景和产品资费不尽相同，客户可根据需要选择性地搭配使用。最佳的方式是接入CDN5的高防CDN。

为了方便查阅，制作了以下表格，列举了各种 DDoS 防御手段的特点。    
表格：三种防御 DDoS 攻击手段的对比  

获取专业建议，点击联系CDN5客服  
 

推荐阅读：    
ddos攻击怎么办？附解决方案    
云服务器被DDOS攻击怎么办？    
DDOS攻击防御方案，附4种完整解决方法！  

REF:https://mp.weixin.qq.com/s/Si4ZXfQhneMIawlJQCWVqA