浅论DDOS攻击和防御

大多数互联网公司的业务主要依赖在线服务，DDoS攻击作为最简单有效的攻击手段，经常被黑产作为攻击互联网在线服务的首选。本文以甲方的视角介绍下常见的抵御DDoS攻击的手段以及甲方经常遇到的一些问题，希望可以帮助到大家。中培教育《黑客攻防于信息安全技术实战》专家袁老师在这里对此进行了详细介绍：

什么样的网站容易遭受攻击？

从现实的角度来看，哪家网站的知名度高，受到攻击的几率也越大，前年打P2P，去年打直播，DDoS攻击的背后多是恶性商业竞争，以不大的成本可以让竞争对手业务中断，造成巨大损失，性价比不可谓不高。

哪些时段容易遭受攻击？

理解了攻击动机后，其实很容易总结何时容易被攻击：

（1）新产品发布，比如罗老师发布锤子那次

（2）大型市场活动，比如电商的双十一和双十二

（3）业务高峰期，比如直播和在线教育业务的晚上

　　DDoS攻击的成本

用安全圈的一句话，在国外打垮一个网站需要一顿自助餐的钱，在国内只需要一顿快餐的钱。随便在某及时通讯软件里面一搜，DDoS攻击的类型非常多，但从甲方角度和结果来说只有两种：

（1）流量型攻击，就是把你带宽打满，用户无法正常访问导致业务中断，衡量单位是G；

（2）CC攻击，就是把你重要的接口服务打死，流量不一定很大，但是请求速率一般很大，比如登陆、下单、支付等，衡量单位是QPS。

硬件防火墙和WAF可以抵御DDoS攻击吗？

这是个开放性的问题，需要区分不同情况(这里的机房带宽指的是机房给你分配的带宽)：

（1）如果是流量型攻击，攻击流量小于机房出口带宽时，具备防DDoS攻击能力的硬件防火墙和WAF可以抵御;攻击流量高于机房出口带宽时，只能遗憾了。

（2）如果是CC攻击，攻击流量小于机房出口带宽时，具备防CC能力的硬件防火墙和WAF可以抵御；攻击流量高于机房出口带宽时，只能遗憾了。

遗憾的事，相当一部分DDoS攻击轻松上几十G，用户购买的出口带宽上1G的都不多。可见，面对现实中的DDoS攻击时，本地的硬件防火墙和WAF作用有限。

常见的抗D手段有哪些?

从甲方角度讲，可以按照抗D设备/服务部署的位置分为：

（1）自购带有抗D抗CC功能的硬件防火墙或者WAF

（2）机房的流量清洗服务，比如高防机房

（3）云安全厂商的云抗D服务(CDN厂商提供的流量清洗服务也算这种情况)

（4）运营商(比如电信云堤)的流量清洗服务

云抗D是啥原理？

云抗D服务和CDN接入原理类似，使用的是所谓替身防护的技术。用户在DNS服务器上将需要保护的web服务的域名指向云抗D中心提供的高防IP或者CNAME域名，云抗D中心将访问该web服务的请求再转发给用户的业务服务器，相当于充当了一个nginx反向代理，针对该web服务的攻击会被云抗D中心清洗，正常的用户请求才会转发给用户的业务服务器。

使用云抗D黑客直接打IP咋办？

问题也就来了，黑客如果直接攻击用户业务服务器的IP，就会绕过云抗D中心。为了防止这种情况出现，最简单的解决方案是，用户的业务服务器提供两个IP，IP1是平时使用的，对外暴露，IP2平时不使用，同时限制IP2仅允许云抗D中心的IP段访问，一旦切入云抗D中心后，联系机房拉黑IP1，同时启用IP2即可，通常IP1和IP2可以指向同一服务器或者负载均衡。

使用云抗D后如何获取客户端真实IP？

这个和使用CDN情况类似，比较常见的解决方案是在http协议层携带客户端的IP，比如x-forwarded-for字段。

三线与BGP抗D的区别是什么？

在国内现实的问题跨网访问的巨大延时，为了解决这个问题，通常有两种简单办法，一个是申请联通电信移动三网的IP资源，一个是使用相对昂贵的BGP资源。对应的抗D云服务也提供了三线和BGP服务，本质上区别就是一个需要做分区解析，一个不用，价格上一般BGP高防会贵些，从跨网访问来看两者都不错。