UCloud优刻得：企业“出海”DDoS攻击防不胜防 老司机教你几招快速应对

近年来，随着国内互联网市场巨头垄断下的流量竞争愈演愈激烈，越来越多的企业被迫“出海”，尤其是电商和游戏行业。然而海外业务的快速扩张往往也伴随着势不可挡的黑暗势力——恶意DDoS攻击，频繁遭受DDoS攻击就会让本该为用户提供服务的资源忙于应付攻击者的请求，导致服务端瞬间失去服务能力，难以对正常用户的请求。

为帮助更多的出海企业有效解决DDoS攻击问题，在10月23日TIC大会的技术分论坛上，UCloud优刻得安全产品经理冯业浩围绕DDoS攻击防御方面的技术和安全产品进行了解析，并分享了几个真实的攻击防护案例，供大家参考借鉴。

DDoS攻击背后并不简单

众所周知，DDoS攻击是一种非常普遍且最为有效的网络攻击方式。法国社会学家涂尔干曾经说过:“一个行业的先进程度与其行业的细分程度成正比。”从这个角度看，DDoS行业已经是一个高度发达、高度发展的行业。

DDoS攻击行业涉及到多个利益环节，首先，会有一个软件开发团队专门用来负责写木马，木马开发完成之后，将会交由木马的运营团队和销售团队进行销售。

而僵尸网络的运营者将会拿到这些木马并且进行挂马传播，最终使客户的主机和电脑受到入侵，成为僵尸网络中的一员，而僵尸网络最终也会成为DDoS攻击的一个资源的提供者。另外有一波软件开发人员，他们用来开发DDoS攻击平台，DDoS攻击平台开发完成之后，将会有DDoS开发平台的销售去向客户进行销售。而客户最终只需要打开一个网页，输入攻击的域名或者输入一个IP地址，就可以开展一次攻击。

从这个角度大家可以看到DDoS攻击并不是一项技术门槛非常高的攻击手段，恶意竞争者只需要付费即可轻松展开一次DDoS攻击，不需要任何的技术学习和门槛。

人潮熙熙，皆为利来；人潮攘攘，皆为利往。DDoS攻击行业背后的利润巨大，例如，基本每个游戏上线的时候都会遭受几次DDoS攻击，而DDoS攻击的来源可能是勒索组织，也可能是竞争对手。因此，企业要想出海好好发展业务，必须将DDoS攻击防御作为业务考虑中的关键一环。

防御DDoS攻击的两种方式

但企业在DDoS攻击防御的同时，也将面临两个问题：接入防护后的代理模式将攻击流量引导至第三方，不可避免增加延时； 防护能力越强防护成本越高，回源带宽也是一笔很高的成本。针对企业面临的这两个痛点，冯业浩接下来重点介绍了UCloud优刻得在 DDoS攻击防护方面做了哪些工作。

DDoS攻击一般来说可以分成两大类，一类是协议攻击，一类是流量攻击。所谓协议攻击，最常见的是syn flood攻击，即攻击者通过发送大量的syn包建立大量半开连接，耗尽用户主机的资源，从而导致用户的主机崩溃，不能够正常对外提供服务；流量攻击，就是采用大流量的攻击，占满用户的带宽，使得用户的正常流量被丢弃。举一个比较典型的例子：2018年GitHub遭遇到了史上最严重的一次DDoS攻击，其峰值带宽高达1.35T，这次攻击就是黑客利用了memcached的反射漏洞,发起了一次反射的流量攻击。

而防御DDoS攻击一般来说有两种方式,一种方式就是在业务机房边缘去做流量清洗，此时业务机房需要具备足够大的上联带宽，将正常流量和攻击流量全部收进来之后，在业务机房的边缘还需要有一套分析设备和一套清洗设备，分析设备通过对流量的镜像分析，可以分析出哪个IP被攻击了；而清洗设备一旦发现哪个IP被攻击之后，就会发起流量的牵引，将被攻击的IP的所有的流量引入清洗模块；清洗模块根据攻击的特征筛选掉攻击的流量，从而将正常的流量下放至客户的源站。

第二种方式则是用专门的高防机房，比如说客户的业务需要部署在自己的业务机房内，而将入口放在高防机房中。高防机房通常都有足够大的上联带宽，会对流量进行清洗，从而将正常的流量通过公网回源至用户的源站。

第一种方式要求业务机房有足够大的上联带宽，同时每个业务机房都必须有足够强大的清洗和分析设备，这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式，由于它是一种代理的模式，因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的，这部分成本也是相当大的。

总的来说，一个高防防护的IP地址，它的延时和它的防护能力，是鱼和熊掌不可兼得的。防护等级越高，一般来说，延时会有一些比较明显的影响。因此企业根据可能被攻击的量级来选择合适的DDoS攻击防护方式才是最好的选择。

UCloud优刻得基于全球的流量分级防护方案

对此，UCloud优刻得推出了一套基于全球清洗能力的全球分级解决方案。在攻击的量级在20G以下的时候，推荐使用本地清洗；在70G以下的时候，推荐使用高防EIP；而如果攻击流量达到70G以上，则推荐使用分布式高防，即UCloud优刻得亚太高防和Anycast全球清洗。

本地清洗产品的防护阈值上限为20G，虽然它的防护阈值不是很高，但是可以抵御小规模的DDoS攻击，且好处是用户一旦购买该服务后，其账户下所有的EIP

都能够享受到相关的DDoS防御的服务。此外EIP的延时不会有任何的影响，可以像使用正常的EIP一样使用它。

同时，UCloud优刻得在首尔、胡志明、曼谷和雅加达等地域支持分线路的封堵。根据统计,90%的攻击来源都是美国、俄罗斯以及中国，因此在这些小地域进行分线路的检测和封堵，是可以把大部分的攻击直接阻断，而不影响本地的覆盖效果。目前该产品已在北美、欧洲和亚太的主要节点全部上线。

高防EIP则是引入了专门的线路进行高防的清洗，这条线路的带宽非常大。因此足够我们将所有的攻击流量和正常流量引入。同时这条线路还可以保证访问效果和普通的IP地址相比没有明显的差别。目前这个产品已经上线了台北，拥有70G的防护能力，它的延时却等同于普通的弹性IP，使用体验与普通的EIP一致。

如果想要更大的防护能力，那么UCloud优刻得亚太高防和Anycast全球清洗将是不错的选择。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!