隨著互聯(lián)網(wǎng)的發(fā)展，DDoS攻擊流量峰值越來越高，從1G到10G，從10G再到100G。

2017年，360安全團(tuán)隊(duì)檢測到一場流量規(guī)模史無前例的DDoS攻擊，致使全球多個云服務(wù)器崩潰，該攻擊最高流量接近1.4T。DDoS攻擊正式邁入T級時代。

[[432277]]

雖然這次檢測T級流量沒有得到廣泛認(rèn)可，但在2018年初，GitHub遭受峰值達(dá)1.35TB/秒新聞上了熱搜，不到一周時間，又傳出黑客以每秒1.7Tbps流量企圖攻擊某實(shí)體系統(tǒng)。2020年，亞馬遜宣布成功抵御2.3T峰值的攻擊流量，再次刷新歷史記錄。人們這才意識到，T級別DDoS攻擊離我們越來越近了。

DDoS防御歷史

DDoS作為一種古老的攻擊方式，其防御方式也經(jīng)歷了幾個階段。

內(nèi)核優(yōu)化時代

互聯(lián)網(wǎng)蠻荒時代，帶寬很小，大部分用戶通過56K的modem撥號上網(wǎng)，當(dāng)時雖然沒有類似DDoS云清洗服務(wù)還抵御DDoS攻擊，但黑客所能利用的帶寬量也小。

對于防御方而言，只需通過優(yōu)化內(nèi)核參數(shù)、iptables就能解決DDoS攻擊。DDoS頻發(fā)的行業(yè)，還可以通過編寫內(nèi)核防護(hù)模塊來提升抗D能力。

硬件防火墻時代

Anti-DDoS硬件防火墻成為這個時代的主流抗DDoS產(chǎn)品。

Anti-DDoS硬件防火墻對功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等各個部分進(jìn)行優(yōu)化，以達(dá)到防御DDoS的目的。Anti-DDoS硬件防火墻可以抗住100GBPS甚至更高的DDoS攻擊，對主流的攻擊方式，例如SYN-FLOOD、CC攻擊、DNS-FLOOD等都有較強(qiáng)的防御能力。

但是這種方式成本相當(dāng)高， 攻擊者雖然不能癱瘓服務(wù)器，但防御方往往也會付出很大的成本代價。

DDoS云清洗時代

云計(jì)算時代，抗D有了更好的方案。當(dāng)檢測到異常流量，或者超出IDC機(jī)房的流量閾值時，先將流量轉(zhuǎn)到云平臺進(jìn)行清洗，然后再將干凈的流量轉(zhuǎn)發(fā)回用戶真正的源站，這樣一來DDoS防護(hù)復(fù)雜度被簡化，成本也下降了不少。

那么，DDoS云清洗到底是怎么抵御DDoS攻擊的呢?：

防御方式

帶寬

理論上，只要帶寬足夠大，任何DDoS都無法影響業(yè)務(wù)的正常運(yùn)行。對于國內(nèi)DDoS情況來說，300Gbps的防護(hù)能力是入門級別的，一些云服務(wù)提供商還會提供1Tbps以上的防護(hù)能力。

大流量清洗集群

DDoS云清洗的一項(xiàng)關(guān)鍵技術(shù)是如何將攻擊流量攔截下來，攻擊防護(hù)、集群架構(gòu)、運(yùn)營體系、負(fù)載均衡及數(shù)據(jù)分析系統(tǒng)是五種主要手段。

(1) 攻擊防護(hù)

絕大多數(shù)專業(yè)的DDoS清洗設(shè)備的防護(hù)方法有：畸形包、特定協(xié)議丟棄、源反彈認(rèn)證體系、統(tǒng)計(jì)限速、行為識別等，對主流的DDoS攻擊方式均有效果。

(2) 集群架構(gòu)

DDoS云清洗必須采用集群架構(gòu)，擁有彈性擴(kuò)容的能力。

(3) 運(yùn)營體系

完善的運(yùn)營體系，是對抗DDoS攻擊最重要的環(huán)節(jié)。云服務(wù)廠商需要經(jīng)過多年與DDoS對抗的經(jīng)驗(yàn)積累，同時還能最快速度發(fā)現(xiàn)新型攻擊，快速分析和找到解決辦法。

(4) 負(fù)載均衡

負(fù)載均衡技術(shù)是DDoS云清洗的關(guān)鍵技術(shù)，這里面包括4層負(fù)載均衡和7層負(fù)載均衡。

• 4層負(fù)載均衡技術(shù)，為每一個客戶業(yè)務(wù)提供一個獨(dú)享的IP，本身的轉(zhuǎn)發(fā)能力要高性能、高可用性，同時還要具備安全防護(hù)能力，能夠?qū)惯B接型攻擊。
• 7層負(fù)載均衡技術(shù)，針對網(wǎng)站類業(yè)務(wù)的代理和防護(hù)，對HTTP/HTTPS協(xié)議的支持，各種CC攻擊的防護(hù)，都會集成在7層負(fù)載均衡的系統(tǒng)里面。

(5) 數(shù)據(jù)分析系統(tǒng)

對流量進(jìn)行分析、應(yīng)用識別、攻擊分析，DDoS攻擊防護(hù)都必須做到這些。目前主流的DDoS清洗都已經(jīng)擺脫了傳統(tǒng)的統(tǒng)計(jì)分析算法，引入行為識、機(jī)器學(xué)習(xí)等方式，能夠更好的幫助客戶進(jìn)行攻擊防護(hù)。