提要

大多数互联网公司的业务主要依赖在线服务，DDoS攻击作为最简单有效的攻击手段，经常被黑产作为攻击互联网在线服务的首选。本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及甲方经常遇到的一些问题，希望可以帮助到大家。

为何攻击我们网站

简单讲就是谁火灭谁，前年打P2P，去年打直播，DDoS攻击的背后多是恶性商业竞争，以不大的成本可以让竞争对手业务中断，造成巨大损失，性价比不可谓不高。

一般何时容易被攻击

理解了攻击动机后，其实很容易总结何时容易被攻击：

新产品发布，比如罗老师发布锤子那次

大型市场活动，比如电商的双十一和双十二

业务高峰期，比如直播和在线教育业务的晚上

DDoS攻击成本大吗

用安全圈的一句话，在国外打垮一个网站需要一顿自助餐的钱，在国内只需要一顿快餐的钱。随便在某及时通讯软件里面一搜：

攻击类型有哪些

DDoS攻击的类型非常多，但是从甲方角度讲，从结果来说就是两种：

流量型攻击，就是把你带宽打满，用户无法正常访问导致业务中断，衡量单位是G

CC攻击，就是把你重要的接口服务打死，流量不一定很大，但是请求速率一般很大，比如登陆，下单，支付等，衡量单位是QPS

硬件防火墙和WAF可以抵御DDoS攻击吗

这是个开放性的问题，需要区分不同情况（这里的机房带宽指的是机房给你分配的带宽）：

如果是流量型攻击，攻击流量小于机房出口带宽时，具备防DDoS攻击能力的硬件防火墙和WAF可以抵御；攻击流量高于机房出口带宽时，只能遗憾了。

如果是CC攻击，攻击流量小于机房出口带宽时，具备防CC能力的硬件防火墙和WAF可以抵御；攻击流量高于机房出口带宽时，只能遗憾了。

遗憾的事，相当一部分DDoS攻击轻松上几十G，用户购买的出口带宽上1G的都不多。可见，面对现实中的DDoS攻击时，本地的硬件防火墙和WAF作用有限。

常见的抗D手段有哪些

从甲方角度讲，可以按照抗D设备／服务部署的位置分为：

自购带有抗D抗CC功能的硬件防火墙或者WAF

机房的流量清洗服务，比如高防机房

云安全厂商的云抗D服务（CDN厂商提供的流量清洗服务也算这种情况）

运营商（比如电信云堤）的流量清洗服务

云抗D是啥原理

云抗D服务和CDN接入原理类似，使用的是所谓替身防护的技术。用户在DNS服务器上将需要保护的web服务的域名指向云抗D中心提供的高防IP或者CNAME域名，云抗D中心将访问该web服务的请求再转发给用户的业务服务器，相当于充当了一个nginx反向代理，针对该web服务的攻击会被云抗D中心清洗，正常的用户请求才会转发给用户的业务服务器。

使用云抗D黑客直接打IP咋办

问题也就来了，黑客如果直接攻击用户业务服务器的IP，就会绕过云抗D中心。为了防止这种情况出现，最简单的解决方案是，用户的业务服务器提供两个IP，IP1是平时使用的，对外暴露，IP2平时不使用，同时限制IP2仅允许云抗D中心的IP段访问，一旦切入云抗D中心后，联系机房拉黑IP1，同时启用IP2即可，通常IP1和IP2可以指向同一服务器或者负载均衡。

使用云抗D后如何获取客户端真实IP

这个和使用CDN情况类似，比较常见的解决方案是在http协议层携带客户端的IP，比如x-forwarded-for字段。

三线与BGP抗D的区别

在国内现实的问题跨网访问的巨大延时，为了解决这个问题，通常有两种简单办法，一个是申请联通电信移动三网的IP资源，一个是使用相对昂贵的BGP资源。对应的抗D云服务也提供了三线和BGP服务，本质上区别就是一个需要做分区解析，一个不用，价格上一般BGP高防会贵些，从跨网访问来看两者都不错。

常见的云抗D厂商有哪些

百度安全的ADS，阿里云的高防IP，腾讯的大禹，知道创宇的抗D保等，主流云厂商也有自己的抗D服务

本文来自兜哥带你学安全，作者：兜哥，百度安全经授权发布

文章图片来源于网络，如有问题请联系我们