随着网络技术的发展，DDoS 攻击也呈现出攻击强度越来越激烈的新特征。相关研究团队发现：2019年上半年已经出现持续2个月攻击接近Tb级的情况，大流量攻击以TCP类攻击为主，单一网段攻击流量持续且流量大，目前已监控到单一C段流量近200G。我们要想有效的防护DDoS攻击，首先要了解不同的DDoS攻击所针对的不同网络组件和协议。

基于不同的层级，攻击可以分为三类：

• 应用层攻击：对第七层也就是应用层的攻击，这种攻击的目的是耗尽目标的应用资源。比如HTTP洪水攻击，大量的请求耗尽HTTP服务器的响应能力，导致拒绝服务。防御的做法通常是监视访问者的行为，阻止已知的僵尸网络情报源，或者是通过JS测试、cookie、验证码等技术来识别可疑或者无法识别的源实体。

• 协议攻击：通常通过消耗服务器、防火墙或者负载均衡设备之类的中间资源，使网络三层或者四层的协议的新建数、可连接数、可用状态表等达到极限，导致拒绝服务。这种攻击一般需要在恶意流量未到达站点之前就对其进行阻断，因为此类DDoS攻击就是想建立连接，并长时间占用连接。可以利用访问者识别技术将合法的访问者和恶意的客户端分开，从而缓解此类攻击。

• Volumetric攻击：此类攻击近几年经常出现，也应该是提问者提到的Tb级别的攻击类型。它通常消耗目标与Internet之间的所有带宽来造成访问的阻塞。通过放大流量的形式，将大量的恶意数据发送给攻击目标。这种攻击一般需要专业的DDoS防护厂商（Arbor，Cloudflare和防御吧等），利用分布在全球的清理中心对洪水般的攻击流量进行吸收清理，极端情况下直接引入黑洞路由之类的设施进行全量丢弃。

防护的整体策略

• 公司安全解决方案就是采用多级保护的策略，包括专业的异常流量管理系统，结合防火墙、内容过滤、负载均衡和其他的DDoS防御技术，共同配合来缓解DDoS攻击的影响。

• 对于Tb级的DDoS攻击，我们最明智的选择是借助专业的云服务DDoS防护商。因为：1. 一般企业没有必要花费大量的资金来组建一套Tb级的防御工事；2. 我们借助于专业厂商，可以依据DDoS事件的资源使用量来付费；3. 他们的重要工作就是监视全球的最新DDoS动态，应急响应更有的放矢。而对于我们，这样可以方便在安全性和灵活性之间找到一个属于自己公司的平衡点。

比如GitHub在2018年遭受的Memcached服务器DDoS攻击，从上图可以看到其峰值达到了1.35Tbps。GitHub的防御系统面对突发的Tb级的攻击，仅仅坚持了10分钟，就顶不住了。他们找来了防御吧托管了所有访问GitHub的流量，利用后者的数据清理中心对恶意流量进行清理。8分钟后，攻击未果，于是攻击者才就此作罢。

当然云服务DDoS防护商也是按照回答开头所说的，根据不同的攻击类型进行不同的防御，只是相比于公司，其拥有更大的带宽和资源。平时注意运维，比如：不用的服务和端口都关闭，需要时再打开；平时要主要检测，有漏洞啥的及时修复等。这样也可以降低被攻击几率。