携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第15天，点击查看活动详情

DDoS防护

DDoS 代表 “分布式拒绝服务”。DDoS攻击是一种恶意尝试，通常通过暂时中断或暂停连接到Internet的主机的服务，使用户无法使用服务器或网络资源。

与拒绝服务（DoS）攻击不同，在拒绝服务（DoS）攻击中，一台计算机和一个互联网连接被用来用数据包淹没目标资源，而DDoS攻击使用许多计算机和许多Internet连接，这些连接通常分布在全球所谓的僵尸网络中。

DDoS攻击主要有3种类型，每种都有自己独特的保护策略和工具：

基于卷的攻击会产生大量的网络级请求，使网络设备或服务器不堪重负。这些攻击可能包括 UDP 泛洪、ICMP 泛洪和其他具有欺骗性网络数据包的攻击。

为了防范基于卷的攻击，DDoS高防提供商会进行大规模的“清理”，使用云服务器来检查流量，丢弃恶意请求并让合法请求通过。这种方法可以应对大规模的、数千兆字节的DDoS攻击。这也称为DDoS通货紧缩。

协议攻击生成的请求利用网络协议中的弱点。这些包括 SYN 泛洪、碎片数据包和死亡 Ping。

为了防范协议攻击，DDoS 防护工具通过在不良流量到达您的网站之前阻止它们来缓解协议攻击。高级解决方案可以分析流量，并将合法用户与恶意的自动化客户端和机器人区分开来。

在应用层攻击中，攻击者会向 Web 应用程序或其他软件应用程序生成大量请求，这些请求似乎来自合法用户。其中包括GET/POST洪水，低速和慢速攻击，或针对Apache或Windows漏洞的特定攻击。

为了防范应用层攻击，DDoS防护系统监控网站访问者的行为，阻止负责应用层攻击的恶意爬虫程序，并使用多种机制（如JavaScript测试、Cookie挑战和CAPTHAs）挑战无法识别的访问者。

DDoS高防软件在现有硬件上运行，分析和过滤掉恶意流量。通常，与基于硬件的解决方案相比，DDoS高防软件更具成本效益且更易于管理。

但是，基于软件和脚本的解决方案只能提供针对 DDoS 攻击的部分保护，容易出现误报，并且无助于缓解基于卷的 DDoS 攻击。与设备或基于云的解决方案相比，本地安装的软件很容易不堪重负，后者在面对大型攻击时更具可扩展性。

DDoS攻击试图通过用大量看似合法的请求淹没服务器/防火墙来淹没服务器/防火墙。

传统的防火墙很难有效地阻止DDoS攻击，往往本身成为大量请求的瓶颈，并使攻击变得更糟。

通过调整网络地形并优化防火墙和入侵防御/检测系统（IPS/IDS）的部署和配置，可以缓解传统防火墙的一些弱点。但即使是最佳的防火墙部署和配置也无法消除DDoS损害，尤其是在应用层攻击场景中。

Web应用防火墙（WAF）可以作为DDoS防护防火墙，可以智能地清除不良请求，是DDoS防护的有效和经济的替代方案。WAF通常部署在云中，通过发送cookie或其他响应来响应可疑的应用程序请求 - 在允许访问系统之前确保用户是真实的并且请求是有效的。

DDoS 高防硬件是潜在攻击者和您的网络之间的物理保护层。尽管DDoS高防硬件可以抵御某些类型的攻击，但其他类型的攻击（如DNS攻击）根本不受硬件影响，因为损害是在流量到达设备之前就已经造成的。

硬件保护可能很昂贵。除了硬件本身的资本支出外，维护，安置和运行设备所需的设施和熟练人力也存在重大的运营费用。额外费用是设备折旧和升级。

降低DDoS攻击风险的一种常用方法涉及与DDoS就绪的托管提供商签订合同，该提供商已经拥有在发生DDoS攻击时吸收不良流量所需的设备。但是，高防DDoS托管效率有限，并且比传统托管成本高得多。

在DDoS高防托管生态圈中，网站所有者通常有两种选择：

但是，这两个选项都不能提供智能应用层 DDoS 缓解。此外，DDoS高防托管不如其他选项具有成本效益，因为吸收DDoS流量是有代价的，并且不提供基于智能行为/签名的识别。

在典型的DDoS防护托管场景中，网站所有者会持续支付用于吸收潜在攻击的带宽 - 即使没有此类攻击正在进行中。更具成本效益和灵活性的选择是识别攻击，并按需扩展以响应它们。