遇到400G以上的DDOS攻击时应采取什么防御措施

随着DDoS攻击的发展，捍卫这项工作变得更加困难。人们认为，当许多企业遇到DDoS攻击时，他们首先会考虑让公司的安全人员在当前的网络基础结构上找到解决方案。确实，有能力的公司可以基于其一些基本保护而发挥一定的缓解作用。到目前为止，还没有针对DDOS攻击的完整解决方案。简而言之，许多防御措施只能缓解而不能完全治愈DDoS攻击。例如，尽管诸如防火墙和高防御服务器之类的安全产品具有DDOS保护功能，但这仅适用于小流量，而满足大流量则完全无奈。特别是，针对大型CC的并发攻击毫无节制。

由于宽带网络速度的提高，DDOS流量攻击也越来越多。在某些特定行业中，每月大约500G的攻击流量也经常发生。那么公司如何应对500G左右的攻击？ ？可以肯定，需要多层防御。

首先是ISP / WAN层。最终用户通常看不见该层，中小型企业通常不暴露于此层。但是，对于某些大型的Internet公司和公共云公司来说，此层是必不可少的，主要是当流量超过它可以处理的限制时，它需要诉诸Internet服务提供商的资源。一些大型的互联网公司本身具有相对较大的带宽，但是当面对繁忙的DDOS攻击时，它们仍然无法完全抵抗。

实际上，云计算服务器供应商和一些安全保护供应商正面临500G左右的攻击。除了自身的保护过滤和清除功能之外，他们仍然需要依靠运营商的BGP来优化线路。尽管某些服务器供应商直接针对大流量攻击执行黑洞路由操作，但除此之外，它们还将使某些实际用户的访问受到干扰，这是一种打折的用户体验。这也将对公司的声誉产生一定的影响，并且业务也会丢失。相反，在不增加延迟，在攻击源附近过滤和清除攻击的情况下，返回源的方式对于用户体验会更好。但是，这种高防御的价格比直接黑洞的价格要高一些。

然后是CDN / Internet层。请注意，CDN并不是专业的反DDoS攻击，但是它只是Web应用程序服务器的一点反DDoS能力。以12306的抢票为例，春节期间的参观人数非常多，数据不少于DDoS的CC。平台CDN级别的验证代码将过滤大多数请求，到达数据库的请求仅占全部请求。所要求金额的一小部分。 CDN通常首先通过其自己的带宽抵抗自身。如果无法抵抗，它将通过动态请求返回源站。如果源站前端的抗DDoS能力或源站前面的带宽受到限制，它将完全是DdoS，从而导致拒绝服务。

这需要预先设置网站的CNAME，将域名指向安全保护供应商的DNS服务器。检测到攻击后，域名将定向到其自己的清洗群集，然后将清洗后的流量返回到源以攻击流量。届时，将预先准备一个域名到IP地址池，并且当IP受到攻击时，将禁止和启用地址池中的下一个IP，依此类推。但是，CDN仅对Web服务有效，而对直接连接到TCP的游戏无效。

数据中心层的防御主要是在出口位置部署ADS设备，以实现近源清洁。这主要是根据具体业务场景确定阈值，然后触发该机制确定的阈值。通过策略，ADS可以自动缓解某些常见的DDOS攻击类型，但是其中一部分需要手动识别。

最后是OS / APP层，主要过滤和减轻ADS设备再次过滤的流量，这是对应用程序层协议ADS的补充保护。当前，大多数Internet公司都使用Web服务，因此它们通常选择在应用程序级别进行DDoS保护。

上述基本防御基本上是基于足够大的带宽。因此，如果流量很大，建议及时找专业的安全防护公司处理，以减少损失。杭州有盾网络技术有限公司是一家技术领先的云保护公司，为企业和开发人员提供一系列价格合理，有效的反DDOS，反CC攻击以及其他网络安全保护解决方案，以帮助您轻松应对产品用户激增，并发访问和大量访问引起的问题。优盾投入巨资独立研发高性能的反DDOS和CC防火墙。它在整个网络中拥有一个自运营的数据中心和超级2T超级防御功能。优盾始终以客户的实际需求为核心，创建了一站式的综合服务平台，致力于为您提供优质的防护，防护效果好，防护成本低，稳定易取。

希望创新互联小编的分享 对大家有帮助，创新互联致力于IDC14年，为大家提供专业化服务器托管，服务器租用，主机托管，云服务器租用等海内外服务器相关资源，详情欢迎咨询客服了解。