腾讯云：遭遇DDoS攻击怎么防？

小提示：您能找到这篇{腾讯云：遭遇DDoS攻击怎么防？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的腾讯云：遭遇DDoS攻击怎么防？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">导语 | 最近几个月处理过多起DDoS攻击案例，从实际案例中总结了一些防护经验希望可以帮助到需要的同仁。本文主要分享DDoS攻击原理、以及实际攻击过程以及如何选择DDoS防护方案。

一、DDOS攻击原理概述

< ">Distributed Denial of Service（DDoS），即分布式拒绝服务攻击，是指攻击者通过远程连接恶意程序控制大量僵尸主机（全国范围甚至全球范围的主机）向一个或多个目标发送大量攻击请求，消耗目标服务器性能或网络带宽，导致其无法响应正常的服务请求。

< ">常见攻击类型包括SYN Flood、ACK Flood、UDP Flood、ICMP Flood以及DNS/NTP/SSDP/memcached反射型攻击。

< ">DDoS攻击会对您的业务造成以下危害：

< ">当DDoS攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务，最终造成巨大经济损失。

< ">由于某些行业的恶性竞争，竞争对手可能会通过DDoS攻击手段来打击您的业务，最终导致您的业务在竞争中失败。

< ">二、DDos攻击案例解析

< ">背景：企业A的test业务一个月内遭遇多次DDoS攻击，攻击流量从最初的不到10Gbps到最后攻击流量高达300多G的防护优化过程。

< ">业务域名：test.com

< ">域名解析的IP：主CLB 1.1.1.1(公网带宽1Gbps)、备份CLB 1.1.1.2

< ">1）第一波DDoS攻击属于试探性的,采用的是SYN Flood攻击,攻击流量8Gbps。假设攻击目标IP：1.1.1.1当时业务架构图如下：

< ">由于攻击流量没有超过赠送的防护流量10G，所以本次攻击对test业务没有任何影响，同时也没有引起企业A的重视。

< ">2）第二波DDos攻击的流量已经增加到40Gbps，由于本次攻击远远超过赠送的10G防护值（也超过CLB的公网带宽1Gbps），导致主IP：1.1.1.1被封禁后业务test无法访问。

< ">虽然主CLB因为DDOS攻击无法提供服务，但是可以通过DNSpod快速切换到备份VIP：2.2.2.2实现在10分钟内恢复了90%的用户访问（前提是准备了备份VIP可以切换）。

< ">针对上述场景有两种解决方案：

< ">将重要的业务VIP加入到高防包，那么后续攻击会通过高防包来清洗攻击流量；

< ">将重要的业务VIP绑定到高防IP，那么后续攻击会先经过高防IP清洗后回源到实际业务VIP；

< ">最终公司A选择了最大防护能力为300G的高防IP，来规避类似DDoS攻击。

< ">3）第三波DDos攻击的流量增加到160Gbps，由于购买了高防IP防护能力高达300G，所以本次攻击对业务没有影响。

< ">虽然本次攻击防护成功，但是还需要考虑极端情况，如果攻击流量超过300G，那么还是有影响业务访问的风险。为了防护超300G攻击流量，建议购买三网防护IP，理论上可以提供1Tbps防护能力。

< ">4）第四波DDoS攻击的流量超300Gbps，导致高防IP：3.3.3.3被封禁，但是兜底方案通过cname自动切换解析指向三网IP（分别是电信、联通、移动的公网IP）最终恢复业务访问。

< ">当高防IP被封禁后会立即通过cname切换解析到三网IP，整个解析切换过程是秒级的，也就是虽然高防IP被封禁但是恢复时间可以做到秒级。

< ">5）通过该案例可以看出，攻击从一开始的试探性，到逐步加大攻击流量，业务影响时长从分钟级到秒级。只要防护到位还是可以减少业务受损时长，甚至完全规避业务受损。但是安全防护能力是需要付出成本的，也有很多企业因为成本原因选择更适合自身的防护方案。

< ">三、DDoS防护方案对比

< ">1）DDoS基础防护方案（免费）

< ">防护对象：适用于腾讯云产品（如EIP、CLB等）

< ">防护能力：普通用户可享受2Gbps防护，VIP用户可享受10Gbps防护。

< ">配置方法：无需配置，自动为云内产品IP开启防护。

< ">2）DDoS高防包方案

< ">防护对象：适用于腾讯云产品，包括CVM、CLB、WAF、黑搜索引擎营销推广石物理服务器、黑石负载均衡、NAT IP、EIP、GAAP IP等，同时也适用于有大量云产品IP需要防护的用户。

< ">防护能力：在用户购买的防护次数范围内（建议不限次数，避免次数限制导致影响业务），腾讯云提供不低于30Gbps的DDoS防护能力，最高防护能力根据各个区域的河北卫视广告部实际网络情况动态调整。

< ">3）DDoS高防IP方案

< ">防护对象：支持TCP，UDP，HTTP和HTTPS业务（默认支持websocket）。

< ">防护能力：BGP线路最高提供300Gbps的防护能力，三网线路最高可提供1Tbps的防护能力。

< ">从三种方案对比可以发现防护能力最高的就是高防IP，具体采用高防包方案还是高防IP方案要根据历史攻击数据以及预算来决定。如果您的防护对象既有腾讯云内的公网IP也有IDC的公网IP，同时要求防护能力比较够可以优先选择高防IP。如果对防护能力低于100G，同时希望保留原有业务IP可以优先考虑高防包。

< ">四、其他注意事项

< ">1）使用DDoS高防包的用户每天将拥有三次自助解封机会，在您需要紧急恢复业务情况下，通过控制台防护概览界面进行自助解封。（系统将在每天零点时重置自助解封次数，当天未使用的解封次数不会累计到次日。）

< ">2）DDoS高防包仅对腾讯云内的公网IP提供DDoS防护支持。如需云外的公网IP防护，请您购买DDoS高防IP，支持网站域名和业务端口的接入防护。

< ">3）DDoS高防支持对访问DDoS高防的源流量按照协议类型一键封禁。您可配置ICMP协议封禁、TCP协议封禁、UDP协议封禁和其他协议封禁，配置后相关访问请求会被直接截断。由于UDP协议的无连接性（不像TCP具有三次握手过程）具有天然的不安全性缺陷，若您没有UDP业务，建议封怎么在新浪发布新闻禁UDP协议。

< ">4）建议购买高防包选择防护次数时，选择无限次数，避免因为次数限制导致业务受损。

< ">

< font-size: 14px; color: rgb(127, 127, 127);">本文作者：腾讯云售后李彬文