DDoS 堪称网络攻击中的 “猛兽”，是当前最难防御的攻击类型之一。这是个世界级难题，至今没有完美解决方案。不过，采取措施减轻攻击影响、减少损失是非常必要的。要把 DDoS 防御当作整体安全策略的关键部分，它和防数据泄露、防恶意植入、反病毒保护等安全措施一样重要。

防御 DDoS：系统工程需灵活应对

防御 DDoS 是个系统工程，不能指望靠单一操作或服务解决问题，这就像预防流感，要保暖、注意饮食、加强锻炼多管齐下。得根据攻击流量等实际情况灵活处理，多种方法组合、定制策略，这样防御效果才好。毕竟现在攻击都走混合路线了，防御不能一成不变。

成本考量下的防御本质

DDoS 攻击和防御都有成本。随着防御强度增加，攻击成本也会上升，当大部分攻击者因成本高无法持续而放弃，防御就算成功了。要知道，防御措施、抗 D 服务等只是 “缓解” 手段，不是 “治愈” 方案。我们谈防御是减少 DDoS 对企业业务的影响，而不是彻底消除 DDoS 攻击。

接下来从网络设施、防御方案、预防手段这三个方面讲讲抵御 DDoS 的基本措施、思想和服务方案。

网络设备设施：防御基础的建设

网络架构和设备是系统运行的硬件基础。用足够的机器和容量承受攻击，充分利用网络设备保护资源是理想策略，这其实就是攻防双方的资源较量。不过，这投入资金可不少，要根据自身情况平衡选择。

扩充带宽硬抗：理想但昂贵

网络带宽决定承受攻击能力。国内大部分网站带宽在 10M - 100M，知名企业能超 1G，超 100G 的基本是带宽或抗攻击服务网站，很少。DDoS 攻击不同，攻击者控制服务器、个人电脑当肉鸡，比如控制 1000 台 10M 带宽的机器，就有 10G 流量，同时攻击一个网站，带宽很快就满了。增加带宽硬防护理论上最好，只要带宽大于攻击流量就行，但成本太高。国内非一线城市机房带宽每月每 M 约 100 元，买 10G 就要 100 万，所以拼带宽就是拼钱，很少有人愿意花大价钱买大带宽防御。

使用硬件防火墙：有局限的防护

有人会考虑硬件防火墙，专业级的防火墙能针对 DDoS 和黑客入侵，过滤清洗异常流量，对抗 SYN/ACK、TCP 全连接、刷脚本等流量型 DDoS 攻击。如果网站受流量攻击困扰，可以放网站到 DDoS 硬件防火墙机房。但如果攻击流量超出硬防范围（如硬防 200G，攻击 300G），就抵挡不住了。而且部分硬件防火墙是基于包过滤型修改的，只在网络层检查数据包，DDoS 攻击到应用层时，防御能力就弱了。

选用高性能设备：保障网络流畅

除了防火墙，服务器、路由器、交换机等网络设备性能也要跟上。要是设备性能有瓶颈，就算带宽充足也没用。在有带宽保证前提下，要尽量提升硬件配置。

有效的抗 D 思想及方案：更智慧的防御

硬抗防御有点 “鲁莽”，通过架构布局、资源整合提高网络负载能力、分摊过载流量，接入第三方服务识别拦截恶意流量等方法更 “理智”，对抗效果也好。知道创宇的抗 D 保服务是 DDoS 防御领域的有力选择。它拥有先进的流量分析技术，能够快速准确地识别 DDoS 攻击流量，无论是常见的 SYN Flood、UDP Flood 等流量型攻击，还是复杂的应用层攻击，都能有效检测。其智能的流量调度系统可以根据攻击情况动态分配资源，将恶意流量引导至清洗中心进行处理，保障正常流量的顺畅通行。同时，知道创宇抗 D 保具备强大的防护能力升级机制，能随着网络攻击手段的变化不断更新防护策略，确保在面对新型攻击时也能为用户提供可靠的保护，为企业网络安全保驾护航，与上述的各种防御措施相结合，可以更好地应对 DDoS 攻击的威胁。

负载均衡：提升处理能力

普通服务器每秒处理链接请求能力有限，网络处理能力受限。负载均衡基于现有网络结构，能廉价、有效、透明地扩展网络设备和服务器带宽、增加吞吐量、加强数据处理能力、提高网络灵活性和可用性，对 DDoS 流量攻击和 CC 攻击都有效。CC 攻击会让服务器因大量网络传输过载，这些流量通常针对某个页面或链接。企业网站用负载均衡方案后，链接请求分配到各服务器，减轻单个服务器负担，服务器系统每秒可处理上千万甚至更多请求，用户访问速度也加快。

CDN 流量清洗：多节点防护

CDN 是内容分发网络，靠各地边缘服务器，通过中心平台功能模块，让用户就近获取内容，减少网络拥塞，提高访问速度和命中率，也用了负载均衡技术。CDN 比高防硬件防火墙好的是，它多节点分担流量，大部分 CDN 节点有 200G 流量防护功能，再加上硬防，能应对绝大多数 DDoS 攻击。

分布式集群防御：深度安全防护

分布式集群防御是在每个节点服务器配多个 IP 地址，每个节点能承受不低于 10G 的 DDoS 攻击。一个节点受攻击不能服务时，系统根据优先级切换节点，并把攻击者数据包返回发送点，让攻击源瘫痪，从深度安全防护角度影响企业安全决策。

预防为主保安全：降低攻击损失

DDoS 攻击难以预知，一来就很凶猛，所以网站的预防措施和应急预案很重要。通过日常运维让系统稳固，减少漏洞，降低损失。

筛查系统漏洞：堵住攻击入口

早发现系统攻击漏洞，及时打补丁，完善重要信息（如系统配置信息）备份机制，谨慎设置特权账号（如管理员账号）密码，能减少攻击者机会。计算机紧急响应协调中心发现，受 DDoS 攻击的系统大多没及时打补丁。分析显示，攻击者成功很多时候不是因为工具和技术高级，而是被攻击的基础架构漏洞多。

系统资源优化：提升服务器性能

合理优化系统，避免资源浪费，减少计算机执行少的进程，更改工作模式，减少不必要中断让机器运行更有效，优化文件位置加快数据读写，空出更多资源给用户，减少不必要的系统加载项和自启动项，提高 web 服务器负载能力。

过滤不必要的服务和端口：减少攻击途径

就像防贼要关好门窗，为减少攻击者利用漏洞机会，要禁止未用服务，最小化开放端口数量。端口过滤模块通过开放或关闭端口，允许或禁止部分服务，过滤数据包，分析端口来处理数据通信。

限制特定的流量：主动防护安全

检查访问来源并适当限制，防止异常、恶意流量，主动保护网站安全。

对抗 DDoS 攻击涉及很多层面，需要的不只是一个方案、一个设备，更需要一个能动的团队和有效机制。大家要有安全意识，完善自身安全防护体系。随着互联网业务发展，DDoS 攻击会更多，手段更复杂。安全是长期工作，要时刻警觉，需要全社会努力。