DDoS攻击是一种常见攻击，可确实是个困扰运维人员最为恼火的问题，可导致网站宕机、服务器崩溃、内容被篡改甚至品牌/财产严重受损。其实防御DDoS攻击除了运维人员日常的一些防范意识及操作外，IDC服务商提供的付费增值服务是最好的选择，毕竟花钱的服务嘛，当然是有效果才会有人买单了。

在线安全提供商同样加深了他们的攻击防御技术开发，提出了阻止攻击者的新技术。但是，并非所有 DDoS 保护都是相同的。DDoS 保护服务在质量和保护方面差异很大。为确保您免受最新和最有效的 DDoS 攻击，您需要确保您的安全提供商提供正确的工具和技术来应对最新的威胁。以下是现代 DDoS 保护所需的九项必备功能：

一、应用层 DDoS 保护

应用层(L7)DDoS 攻击已经超过网络层(L3 / 4)攻击，成为最广泛的攻击媒介。根据 知名的网络安全和应用交付解决方案提供商 Radware 公司的 2017-2018 ERT 报告，64%的企业和组织面临应用层攻击，而只有 51%的企业和组织面临网络层攻击。

事实上，根据 ERT 报告，HTTP 洪水是所有攻击类型(网络层和应用层)的第一攻击媒介。此外，SSL，DNS 和 SMTP 攻击是其他常见类型的应用层攻击。许多在线安全服务通过其 WAF 承诺提供 L7 DDoS 保护。但是，这通常需要在 DDoS 保护机制之上支付昂贵的附加 WAF 服务。

这些趋势意味着，现代 DDoS 保护，仅仅针对网络层 DDoS 攻击进行保护已不再足够。现代 DDoS 保护必须包括针对应用层(L7)攻击的内置防御，以便企业级在线业务得到充分保护。例如，天下数据香港高防服务器，全面支持网络层、应用层 DDoS 攻击防护。

二、SSL DDoS 防洪

加密流量现在占据了大部分互联网流量。根据 Mozilla 的 Let's Encrypt 项目，全球超过 70%的网站都是通过 HTTPS 提供的，其中一些市场如美国和德国实现了更高的价格。这些发现反映在 Radware 的最新 ERT 报告中，96%的企业现在在某种程度上使用 SSL，60%的企业证明其大部分流量都是加密的。

然而，这种上升也带来了重大的安全挑战：加密请求可能需要比常规请求多 15 倍的服务器资源。这意味着即使只有少量流量，娴熟的攻击者也可以通过大量消耗服务器资源来削弱你的网站可用性。

随着越来越多的流量被加密，SSL DDoS 洪水正成为黑客越来越受欢迎的攻击媒介。根据 Radware 最新的 ERT 报告，30%的企业报告称在过去 12 个月中遭受了基于 SSL 的攻击。

由于基于 SSL 的 DDoS 攻击的效力，对于希望得到充分保护的组织来说，对 SSL DDoS 洪水的高级保护是必不可少的。天下数据香港高防服务器、高防 IP 服务，基于先进的智能攻击检测处理系统。该系统可以作为代理处理客户端发起的 TCP 和 SSL/TLS 握手，通过丰富的 HTTP 协议验证算法单次验证客户端的合法性。将有 HTTPS 业务交互，并通过 HTTP 算法交互验证的客户端识别为合法用户，其后续报文直接放行。这样的解决方案不仅消除了管理解密密钥所带来的操作复杂性，而且可以大规模防止基于 SSL 的 HTTP DDoS 攻击，而不会增加延迟或损害用户隐私。

三、零日保护

攻击者不断寻找绕过传统安全机制的新方法，并使用前所未有的攻击方法攻击企业。即使通过对攻击签名进行小的更改，黑客也可以制作手动签名无法识别的攻击。此类攻击通常被称为 “零日攻击”。

例如，一种常见的零日攻击类型是突发 DDoS 攻击，它在切换到不同的攻击向量之前使用短突发的高容量攻击。这些攻击通常结合了许多不同的攻击媒介，使依赖传统的、手动调整的安全解决方案的企业无计可施。

另一种零日攻击是放大攻击。放大攻击通常采用通信协议，其中请求和响应分组大小之间存在大的不对称性。此类攻击会从没有参与攻击的第三方服务器上反弹流量，从而放大流量并压倒目标。

根据 Radware 的 2017-2018 ERT 报告，42%的企业遭受了突发攻击，40%的企业报告出现了 DDoS 放大攻击。这些趋势表明，现代 DDoS 保护机制需要零日保护功能。

四、行为保护

随着 DDoS 攻击变得越来越复杂，区分合法和恶意流量变得越来越困难。对于模仿合法用户行为的应用层(L7)DDoS 攻击尤其如此。

许多安全供应商的一种常见机制是基于流量阈值检测攻击，并使用速率限制来限制流量峰值。但是，这是阻止攻击的一种非常粗暴的方式，因为它不区分合法和恶意流量。在活动激增期间(例如购物假期)，当流量显着增加时，这尤其成为一个问题。诸如速率限制之类的不成熟的保护机制不会区分合法和攻击流量，并最终阻止有效用户。

然而，一种更有效的检测和阻止攻击的方法是使用行为技术来了解构成正常用户行为的内容，并阻止所有不符合此行为的流量。这不仅提供了更高级别的保护，而且还可以减少误报，并且在流量高峰时不会阻止合法用户。因此，使用基于行为检测(和缓解)的 DDoS 保护是有效 DDoS 保护的必备条件。

五、详细的 SLA

您的服务水平协议(SLA)是您的安全提供商承诺为您提供的合同保证。可以毫不夸张地说，您的安全性与 SLA 一样好。

许多安全供应商对其功能做出了广泛的营销声明，但一旦涉及对这些声明做出实际承诺，他们的主张就会变得空洞。

为了确保宣传册中所说的内容也是您所获得的 - 您需要告诉您的安全供应商将资金放在嘴边，并提供详细的 SLA，以及对检测，缓解和可用性指标的具体承诺。SLA 应涵盖整个 DDoS 攻击生命周期，以确保您完全覆盖每个方案。

六、自主防御方法及步骤

a.定期扫描漏洞，时打上补丁

要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。

b.过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP…只打开服务端口已经成为许多服务器的一种流行做法，例如WWW服务器，它只打开80个端口，关闭所有其他端口或在防火墙上阻止它们。

C.检查访客来源

使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

采用高防服务器，保证服务器系统的安全

DDOS高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击100G以上的服务器，可以为单个客户提供安全维护，根据各个IDC机房的环境不同，有的提供有硬防，有使用软防。简单来说，就是能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞的服务器。

七、采用高防IP，隐藏服务器的真实IP地址

高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下的一款增值服务。其防御原理是用户可通过配置高防IP，将攻击流量引流到高防IP，从而保护真正的IP不被暴露，确保源站的稳定可靠，保障用户的访问质量和对内容提供商的黏度。

八、采用高防CDN，通过内容分离数据流量进行防御

CDN防御力的全名是ContentDeliveryNetworkDefense，即內容分离数据流量防御力。高防CDN的基本原理就是说搭建在互联网之中的內容派发互联网，借助布署在全国各地的边沿网络服务器，根据管理中心服务平台的负载均衡、內容派发、生产调度等程序模块，使客户就近原则获得需要內容，而无需立即浏览网站源网络服务器。其基本原理简易的说就是说搭建好几个高防服务器CDN连接点，当有CDN连接点攻击的那时候每个连接点相互承担。不容易由于一个连接点被攻击砍死而造成网站无法打开，同时采用CDN还可以保护网站源IP。这儿有一个关键环节，一旦连接了高防CDN(免费的CDN一般能防止5G左右的DDOS))，千万别泄漏源网络服务器的网络ip，不然攻击者能够避过CDN立即攻击源网络服务器。

九、配置Web应用程序防火墙(WAF)

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品WAF(Web应用防火墙)基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站业务的安全与可用性。

如果您的安全提供商未能提供此类承诺，则会对您的供应商提供针对 DDoS 攻击提供高质量保护的能力产生怀疑。这就是粒度 SLA 是现代 DDoS 保护的必备条件。