隨著互聯網的發展，DDoS攻擊流量峰值越來越高，從1G到10G，從10G再到100G。

2017年，360安全團隊檢測到一場流量規模史無前例的DDoS攻擊，致使全球多個云服務器崩潰，該攻擊最高流量接近1.4T。DDoS攻擊正式邁入T級時代。

[[432277]]

雖然這次檢測T級流量沒有得到廣泛認可，但在2018年初，GitHub遭受峰值達1.35TB/秒新聞上了熱搜，不到一周時間，又傳出黑客以每秒1.7Tbps流量企圖攻擊某實體系統。2020年，亞馬遜宣布成功抵御2.3T峰值的攻擊流量，再次刷新歷史記錄。人們這才意識到，T級別DDoS攻擊離我們越來越近了。

DDoS防御歷史

DDoS作為一種古老的攻擊方式，其防御方式也經歷了幾個階段。

內核優化時代

互聯網蠻荒時代，帶寬很小，大部分用戶通過56K的modem撥號上網，當時雖然沒有類似DDoS云清洗服務還抵御DDoS攻擊，但黑客所能利用的帶寬量也小。

對于防御方而言，只需通過優化內核參數、iptables就能解決DDoS攻擊。DDoS頻發的行業，還可以通過編寫內核防護模塊來提升抗D能力。

硬件防火墻時代

Anti-DDoS硬件防火墻成為這個時代的主流抗DDoS產品。

Anti-DDoS硬件防火墻對功耗、轉發芯片、操作系統等各個部分進行優化，以達到防御DDoS的目的。Anti-DDoS硬件防火墻可以抗住100GBPS甚至更高的DDoS攻擊，對主流的攻擊方式，例如SYN-FLOOD、CC攻擊、DNS-FLOOD等都有較強的防御能力。

但是這種方式成本相當高， 攻擊者雖然不能癱瘓服務器，但防御方往往也會付出很大的成本代價。

DDoS云清洗時代

云計算時代，抗D有了更好的方案。當檢測到異常流量，或者超出IDC機房的流量閾值時，先將流量轉到云平臺進行清洗，然后再將干凈的流量轉發回用戶真正的源站，這樣一來DDoS防護復雜度被簡化，成本也下降了不少。

那么，DDoS云清洗到底是怎么抵御DDoS攻擊的呢?：

防御方式

帶寬

理論上，只要帶寬足夠大，任何DDoS都無法影響業務的正常運行。對于國內DDoS情況來說，300Gbps的防護能力是入門級別的，一些云服務提供商還會提供1Tbps以上的防護能力。

大流量清洗集群

DDoS云清洗的一項關鍵技術是如何將攻擊流量攔截下來，攻擊防護、集群架構、運營體系、負載均衡及數據分析系統是五種主要手段。

(1) 攻擊防護

絕大多數專業的DDoS清洗設備的防護方法有：畸形包、特定協議丟棄、源反彈認證體系、統計限速、行為識別等，對主流的DDoS攻擊方式均有效果。

(2) 集群架構

DDoS云清洗必須采用集群架構，擁有彈性擴容的能力。

(3) 運營體系

完善的運營體系，是對抗DDoS攻擊最重要的環節。云服務廠商需要經過多年與DDoS對抗的經驗積累，同時還能最快速度發現新型攻擊，快速分析和找到解決辦法。

(4) 負載均衡

負載均衡技術是DDoS云清洗的關鍵技術，這里面包括4層負載均衡和7層負載均衡。

• 4層負載均衡技術，為每一個客戶業務提供一個獨享的IP，本身的轉發能力要高性能、高可用性，同時還要具備安全防護能力，能夠對抗連接型攻擊。
• 7層負載均衡技術，針對網站類業務的代理和防護，對HTTP/HTTPS協議的支持，各種CC攻擊的防護，都會集成在7層負載均衡的系統里面。

(5) 數據分析系統

對流量進行分析、應用識別、攻擊分析，DDoS攻擊防護都必須做到這些。目前主流的DDoS清洗都已經擺脫了傳統的統計分析算法，引入行為識、機器學習等方式，能夠更好的幫助客戶進行攻擊防護。