带你直面当下企业DDoS防护中的两大难题：延时和成本

如今企业在做DDoS防护的时，通常会面临两个问题：接入DDoS防护后的代理模式将攻击流量引导至第三方，不可避免增加延时； 防护能力越强防护成本越高，回源带宽也是一笔很高的成本。
　　DDoS攻击一般来说可以分成两大类，一类是协议攻击，一类是流量攻击。所谓协议攻击，最常见的是syn flood攻击，即攻击者通过发送大量的syn包建立大量半开连接，耗尽用户主机的资源，从而导致用户的主机崩溃，不能够正常对外提供服务；流量攻击，就是采用大流量的攻击，占满用户的带宽，使得用户的正常流量被丢弃。举一个比较典型的例子：2018年GitHub遭遇到了史上最严重的一次DDoS攻击，其峰值带宽高达1.35T，这次攻击就是黑客利用了memcached的反射漏洞，发起了一次反射的流量攻击。
　　而DDoS防护方式一般来说有两种，第一种DDOS防护方式就是在业务机房边缘去做流量清洗，此时业务机房需要具备足够大的上联带宽，将正常流量和攻击流量全部收进来之后，在业务机房的边缘还需要有一套分析设备和一套清洗设备，分析设备通过对流量的镜像分析，可以分析出哪个IP被攻击了；而清洗设备一旦发现哪个IP被攻击之后，就会发起流量的牵引，将被攻击的IP的所有的流量引入清洗模块；清洗模块根据攻击的特征筛选掉攻击的流量，从而将正常的流量下放至客户的源站。
　　第二种方式则是用DDoS防护的专用高防机房，比如说客户的业务需要部署在自己的业务机房内，而将入口放在高防机房中。高防机房通常都有足够大的上联带宽，会对流量进行清洗，从而将正常的流量通过公网回源至用户的源站。
　　第一种方式要求业务机房有足够大的上联带宽，同时每个业务机房都必须有足够强大的清洗和分析设备，这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式，由于它是一种代理的模式，因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的，这部分成本也是相当大的。
总的来说，企业根据可能被攻击的量级来选择合适的DDoS防护方式才是最好的选择。因为一个高防防护的IP地址，它的延时和它的DDoS防护能力，是鱼和熊掌不可兼得的。防护等级越高，一般来说，延时会有一些比较明显的影响。
本文转自：http://www.heikesz.com/ddos1/2080.html