华为云|肚量大如海的DDoS高防

小提示：您能找到这篇{华为云|肚量大如海的DDoS高防}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的华为云|肚量大如海的DDoS高防内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">要问网站和应用最怕什么攻击，DDoS绝对名列前茅。特别是游戏、电商等对实时性要求较高的行业，一旦被DDoS攻击，访问卡顿、业务中断，很容易造成用户流失、营业额下降。

< ">DDoS，全称Distributed Denial of Service，即分惠普公关危机案例布式拒绝服务。其原理是通过对承载网站和应用的服务器发送大量无用请求，耗尽服务器CPU、内存等资源，让服务器卡顿甚至奔溃，以至本来正常的用户请求无法响应，即“拒绝”了正常的访问。

< ">举个栗子，某面馆A生意兴隆，对面的面馆D看不下去了，决定要搞一下A，于是花钱雇了100个人，每天在A家坐着，但又不点东西，正常的用户进来一看，连坐的地方都没有，赶紧到D去吃得了。

< ">可见，DDoS攻击的本质是：正常的用户不能得到服务，都被恶意或者垃圾的连接堵塞了。

< ">当然，真正的DDoS攻击手段很多，但万变不离其宗，都是利用TCP等协议栈或服务器本身的漏洞达成攻击，比如业界典型的SYN Flood攻击，就是利用了TCP协议的漏洞。

< ">学计算机的同学应该对每年必考的TCP三次握手很熟悉：

< ">第一次握手，客户端向服务器发送一个SYN报文，就相当于用户对服务器说：服务器，我要跟你建立TCP连接。

< ">第二次握手，服务器向客户端发送一个SYN+ACK报文，ACK是对第一次握手中SYN报文的确认，相当于说：好的，我同意建立连接。

< ">第三次握手，客户端向服务器发送一个ACK报文，确认第二次握手中的SYN报文被成功接，TCP连接成功建立，服务器和客户端开始数据传输。

< ">问题就出在第二、第三次握手间。恶意的客户端如果一直不给服务器发送本来应该发送的ACK报文，服务器就会一直等待客户端的报文，而且还会主动向客户端发送SYN+ACK报文，并且等待30秒到2分钟后，如果还是没收到客户端的ACK报文，服务器才会关闭连接。等待的过程也要耗费资源来保存第一、第二次握手产生的参数，攻击者如果使用大量的恶意客户端去连接服务器，但又不完成第三次握手，那就会把服务器的CPU和内存耗尽，进而达成攻击目的。

< ">所以呢，DDoS攻击无论从技术上还是成本上，都很简单粗暴，而且效果超好，真可谓“居家旅行、杀人灭口的必备良药”，也就难怪这么多攻击者喜欢用DDoS攻击，而大家又这么怕DDoS攻击了。

< ">DDoS攻击者需要发起很大的流量进行攻击才有效，最起码要比被攻击的目标的带宽大，比如某服务器的带宽是200Mbps，那1Gbps的流量打过来，服务器肯定挂了。一般这些大流量来自2个地方，一个是有些黑产做的流量平台，攻击者向这些平台租赁流量。几年前曾出现过不少“50块钱包打挂网站”的流量平台；另一个是自己去攻击机器，植入木马，把这些机器变成可以随意操控的“肉鸡”（也称“傀儡机”，顾名思义，就是被人控制的机器），用这些“肉鸡”来组成僵尸网络，远程发送指令让这些“肉鸡”对目标发起攻击。CNCERT在2018年共发现了140万余台肉鸡，而这只是冰山一角。万物互联时代，每个摄像头、每个手环、甚至家里的智能电冰箱、空调，都可能成为“肉鸡”。

< ">鉴于DDoS攻击简单粗暴的攻击效果，业界也发展出了很多成熟的防攻击手段，比如华为云的DDoS高防，其原理是当服务器被DDoS时，及时切换到一个受保护的IP上，这个IP能够抵挡很大的流量，比如华为云的高防单IP最高可防御600Gbps的攻击，总带宽更达5Tbps。当大流量攻击这个受保护的IP时，这个IP会把大流量牵引到云上的防御中心，中心会对恶意和正常流量进行标记和清洗，恶意的，阻断或者丢弃；正常的，则送回服务器。这样，对用户和服务器来说，攻击似乎就没有发生过，因为恶意的流量都被防护中心“消化”掉了。

< ">所以，大流量攻击就相当于泥沙俱下、奔涌而来的大江大河，防御中心则相当于肚量大如海的蓄水湖，把这些流量统统吸收进来，然后让干净的流水慢慢流到下游的田地里，泥沙则被拦截住了。

< ">从上面的叙述，也可以知道，一款DDoS高防产品好不好，核心是3点：好的公司代运营

< ">1、带宽够不够大，能承受多大的流量攻击；

< ">2、清洗够不够准，不能把正常的清洗掉，恶意的放走了；

< ">3、速度够不够快，不能半天判断不出来流量的好坏，正常用户也被晾在一边了，出现卡顿。特别对游戏网站，不能出现用户发出“进攻”操纵半天了，画面还没反应。

< ">对应上述三点，华为云DDoS高防单IP最高可防御600Gbps的攻击、总带宽更达5Tbps；正常业务流量0误杀；清洗延迟毫秒级，不卡顿，体验好。