如何防护DDOS攻击策略

        DDoS是目前最凶猛、最难防御的网络攻击之一。现实情况是，这个世界级难题还没有完美的、彻底的解决办法，但采取适当的措施以降低攻击带来的影响、减少损失是十分必要的。将DDoS防御作为整体安全策略的重要部分来考虑，防御DDoS攻击与防数据泄露、防恶意植入、反病毒保护等安全措施同样不可或缺。

       不得不得提的是，防御DDoS攻击是一个系统的工程。防御DDoS应该根据攻击流量大小等实际情况灵活应对，采取多种组合，定制策略才能更好地实现防御效果。毕竟，攻击都流行走混合路线了，防御怎么还能一种功夫包打全能。

       由于DDoS攻击和防御都面临着成本开支，当我们的防御强度逐步增加，攻击成本也对应上升，当大部分攻击者无法持续而选择放弃，那防御就算成功了。也因此我们需要明白，防御措施、抗D服务等都只是一种“缓解”疗法，而不是一种“治愈”方案，我们谈防御是通过相应的举措来减少DDoS攻击对企业业务的影响，而不是彻底根除DDoS攻击。

基于以上，我们将从三个方面（网络设施、防御方案、预防手段）来谈谈抵御DDoS攻击的一些基本措施、防御思想及服务方案。

        一．网络设备设施

       网络架构、设施设备是整个系统得以顺畅运作的硬件基础，用足够的机器、容量去承受攻击，充分利用网络设备保护网络资源是一种较为理想的应对策略，说到底攻防也是双方资源的比拼，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失。相应地，投入资金也不小，但网络设施是一切防御的基础，需要根据自身情况做出平衡的选择。

       1. 扩充带宽硬抗

网络带宽直接决定了承受攻击的能力，国内大部分网站带宽规模在10M到100M，知名企业带宽能超过1G，超过100G的基本是专门做带宽服务和抗攻击服务的网站，数量屈指可数。但DDoS却不同，攻击者通过控制一些服务器、个人电脑等成为肉鸡，如果控制1000台机器，每台带宽为10M，那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击，带宽瞬间就被占满了。增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本也是难以承受之痛，国内非一线城市机房带宽价格大约为100元/M*月，买10G带宽顶一下就是100万，因此许多人调侃拼带宽就是拼人民币，以至于很少有人愿意花高价买大带宽做防御。

       2. 使用硬件防火墙或者云防火墙

许多人会考虑使用硬件防火墙或云防火墙，针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰，可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围（比如200G的硬防，但攻击流量有300G），洪水瞒过高墙同样抵挡不住。就需要增加防护墙的抗D流量。

       3. 选用高性能设备

       除了防火墙，服务器、路由器、交换机等网络设备的性能也需要跟上，若是设备性能成为瓶颈，即使带宽充足也无能为力。在有网络带宽保证的前提下，应该尽量提升硬件配置。