有多種方法可以保護您的網(wǎng)絡和/或應用程序免受 DDoS 攻擊。這里的主要挑戰(zhàn)是我們?nèi)绾螀^(qū)分合法流量和惡意流量。目前有許多 DDoS 緩解方法可用于應對這一挑戰(zhàn)，每種方法都有自己的優(yōu)點和缺點。然而，當今最常見的 DDoS 防護方法有三種：清潔管道法、CDN 稀釋法和 TCP/UDP-DDoS 代理：

清潔管道 DDoS 保護

清潔管道方法的核心是讓所有傳入的流量通過一個“清潔管道”，也稱為洗滌中心。在這個干凈的管道中，將惡意流量與合法流量區(qū)分開來，只允許合法用戶流量進入網(wǎng)絡服務器。Clean Pipe 保護方法現(xiàn)在非常流行，并由許多 ISP 和 DDoS 緩解服務提供。過去，ISP 通常使用黑洞來緩解傳入的 DDoS 攻擊 ，其中包括合法流量在內(nèi)的所有流量都被完全否定。但是，清潔管道保護方法存在一些弱點，即：

1.它們部署起來非常困難且昂貴。您需要一個 BGP（邊界網(wǎng)關協(xié)議路由器）和能夠終止 GRE 隧道的硬件。如今，我們可以使用基于云的服務來解決這個問題，但它們往往非常昂貴。

2.Clean Pipe 方法涉及將流量重新路由到清潔管道/清洗中心，因此依賴于正確的 DDoS 檢測。此外，重新路由過程從重新路由到緩解過程可能需要至少幾分鐘的時間。

3.Clean Pipe 方法在防止基于數(shù)據(jù)包和應用程序泛洪攻擊（第 7 層 DDoS 攻擊）方面不是很有效。

4.盡管比黑洞好得多，但在允許合法流量方面，Clean Pipe 涉及混合客戶端和服務器端流量，因此緩解配置文件可能非常復雜，因此它可能會引入許多誤報（合法流量被阻止） .

然而，清潔管道方法是最通用的，支持幾乎所有類型的應用程序。我們可以將 Clean Pipe 方法視為一種全面的、萬事通的 DDoS 保護方法，但它缺乏針對特定應用程序的高級保護（也就是說，它是無所不能的）。

CDN 稀釋 DDoS 保護

CDN，即內(nèi)容交付網(wǎng)絡，是一個向用戶提供內(nèi)容的分布式網(wǎng)絡系統(tǒng)。因此，離用戶最近的服務器將響應請求，而不是您的原始服務器。因此，CDN 系統(tǒng)在保護系統(tǒng)免受 DDoS 攻擊方面具有兩個關鍵優(yōu)勢：首先，由于涉及大量服務器，因此帶寬總和要大得多。CDN 技術具有巨大的帶寬，可以有效吸收第 3 層或第 4 層 DDoS 攻擊（或容量 DDoS 攻擊）。其次，原始服務器不是響應用戶請求的服務器，因此任何 DDoS 攻擊都很難到達該服務器。這并不是說 CDN 稀釋是完美的，因為也有一些缺點：

1.CDN 稀釋服務成本高昂，并且可能涉及許多隱藏成本，尤其是因為您涉及使用第三方網(wǎng)絡

2.與 DDoS 保護沒有直接關系，某些國家/地區(qū)已屏蔽了流行 CDN 的 IP 地址，因此某些國家/地區(qū)的受眾可能無法訪問您的站點。

3.如果 CDN 服務器關閉（這是可能的），源服務器很容易受到 DDoS 攻擊。

4.CDN 僅適用于 Web 應用程序，您不能在專有 TCP/UDP 應用程序上使用它

但是，CDN 服務器是應用程序上下文感知的，并且與 Clean Pipe（無前置時間）相比，動作更快。因此，除非您使用專有 TCP/UDP 應用程序，否則 CDN 稀釋可能是一個很好的 DDoS 保護解決方案。

TCP/UDP 代理 DDoS 防護

如果您的網(wǎng)站/平臺包含 TCP 或 UDP 服務，例如電子郵件 (SMTP)、SSH 訪問、游戲服務等，請了解它們的開放端口可能意味著 DDoS 攻擊的漏洞。為了解決這個問題，放置了一個基于 TCP/UDP 的代理，其工作方式類似于基于 CDN 稀釋的保護。在這種方法中，數(shù)據(jù)包被發(fā)送到 TCP/UDP 反向代理，然后過濾掉惡意流量和數(shù)據(jù)包。與之前的兩種 DDoS 保護方法一樣，這種方法也有缺點：

1.后端的源 IP 將更改。由于我們無法獲得真實訪問者的 IP，這可能是一個額外的漏洞。

2.TCP/UDP 代理的配置基于每個應用程序而不是每個域（如 CDN 稀釋）。

3.與 CDN 稀釋相比，它更容易出現(xiàn)誤報（在這方面與 Clean Pipe 方法非常相似）。

4.不提供網(wǎng)絡粒度

TCP/UDP 反向代理非常通用且準確，因為它可以允許定義的端口訪問而不是打開所有端口。此外，它非常擅長吸收緩慢的 DDoS 攻擊。

不同的 DDoS 保護模型

此外，我們可以根據(jù)它在您的系統(tǒng)上的實施方式來區(qū)分 DDoS 保護：

本地 DDoS 保護模型

在此模型中，DDoS 保護系統(tǒng)是在您的企業(yè)場所（即您的數(shù)據(jù)中心）實施的。這種模式的好處非常明顯：您可以直接控制一切，因此您可以隨時更新、更改、添加或刪除 DDoS 保護系統(tǒng)的任何方面。以下是此 DDoS 保護模型的其他一些優(yōu)勢：

1.響應速度。這種 DDoS 保護模型的主要優(yōu)勢之一。當檢測到攻擊時，您的內(nèi)部團隊可以使用內(nèi)部部署系統(tǒng)立即響應 DDoS 攻擊

2.您可以根據(jù)自己的 DDoS 保護需求開發(fā)自定義解決方案，并且這些解決方案可以相互獨立擴展。

3.在處理低級別 DDoS 攻擊方面要好得多

4.您不必與第三方 DDoS 服務供應商共享私鑰

簡而言之，通過內(nèi)部部署的 DDoS 保護方法，您始終可以擁有最佳的多功能性并控制您的策略。如果您的網(wǎng)站或系統(tǒng)反復受到 DDoS 攻擊，那么從長遠來看，內(nèi)部部署解決方案可以節(jié)省時間和金錢，您還可以根據(jù)系統(tǒng)的確切需求定制保護策略。

但是，內(nèi)部部署 DDoS 模型確實有一些缺點：

1.可擴展性。即使是最先進的本地 DDoS 保護硬件也無法應對當今的一些大型 DDoS 攻擊

2.很少有供應商為內(nèi)部部署解決方案提供全面的 DDoS 硬件，因此您可能需要與多個不同的供應商合作。這可能是一個耗時的過程。

3.這種方法的最大問題可能是成本。投資 DDoS 保護硬件可能非常昂貴，但只有在您受到攻擊時才能提供價值。顯然我們不想經(jīng)常受到攻擊，所以如果你很幸運，你可能只使用這些解決方案一次

4.并非所有內(nèi)部部署硬件解決方案都可以與云解決方案（我們將在下面討論）一起使用，如果您需要進行升級或更改，這可能是一個問題

基于云的 DDoS 防護模型

正如我們上面所討論的，本地 DDoS 解決方案的一個主要問題是成本。您需要投資復雜且昂貴的硬件，例如負載平衡器和硬件防火墻等。因此，許多公司已轉(zhuǎn)向采用基于云的 DDoS 保護解決方案，這通常更實惠，因為我們不需要投資基礎設施和設備（至少，我們可以降低成本）。此外，我們可以消除維護這些 DDoS 硬件解決方案的人力資源成本。然而，這并不是說這種基于云的 DDoS 保護方法更簡單、更好，我們需要考慮以下因素：

1.解決方案的聲譽和客戶評論。在當今時代，這是需要考慮的非常重要的一步，除了提供的一系列功能外，我們還必須考慮客戶服務方面

2.支持協(xié)議的基于云的解決方案的功能、流量檢查過程的細化程度、分析方法等。

3.多功能性，例如創(chuàng)建自定義配置和臨時策略的可能性

4.DDoS 保護解決方案將如何分析和區(qū)分合法流量和惡意流量。不同的解決方案可能提供不同的方法，不同的公司可能因其獨特的客戶檔案而有不同的需求。

5.可擴展性。我們?nèi)绾胃鶕?jù)用戶不斷變化的需求來擴展云解決方案。

6.支持某些硬件，以及冗余功能的可用性。

7.關于報告/警報系統(tǒng)的方法，不同的解決方案可能提供非常不同的報告級別。由于響應速度在 DDoS 緩解中極為重要，因此這是一個非常重要的考慮因素。

8.根據(jù)不斷變化的 DDoS 威脅，在正常運行時間和持續(xù)更新方面的可靠性。

9.控制傳入和傳出流量的能力，以防止攻擊者利用我們受損的網(wǎng)絡資源進行惡意使用。

現(xiàn)在有許多公司 使用不同的技術和方法提供基于云的 DDoS 保護軟件和服務（請參閱我們的上一節(jié)）。然而，與內(nèi)部部署的 DDoS 保護方法相比，這些基于云的解決方案也存在一個明顯的缺點：控制。

無論這些基于云的第三方解決方案有多好，您都無法直接控制他們的服務。例如，如果他們的系統(tǒng)由于某種原因遭到破壞，那么您的系統(tǒng)也將容易受到攻擊。這就是為什么如果您決定采用這種模式，選擇信譽良好的 DDoS 服務非常重要。

混合 DDoS 保護模型

顧名思義，這種方法結(jié)合了兩全其美，在內(nèi)部部署和基于云的保護解決方案之間創(chuàng)建了一個封閉的反饋循環(huán)。這種方法允許更精細地報告攻擊，同時允許我們在組合這些資源的同時定制緩解策略。

這種方法的主要優(yōu)勢之一是能夠?qū)嵤┒鄬酉到y(tǒng)，在該系統(tǒng)中，低級別 DDoS 攻擊（第 3 層和第 4 層）通過網(wǎng)絡層內(nèi)部部署保護（如 IP 信譽集成和強大的防火墻）得到緩解。同時，應用層可以處理 SSL 終止和 Web 應用防火墻。另一方面，基于云的保護可以保護內(nèi)部部署系統(tǒng)免受大型 DDoS 攻擊，這通常是內(nèi)部部署保護的禍根。

如果操作得當，這種方法可以在所有層提供強大的 DDoS 保護，保護系統(tǒng)免受隨機 HTTP 洪水、DDoS 爆發(fā)、協(xié)議級攻擊、緩存繞過和其他類型的 DDoS 攻擊。

此外，DDoS 保護的混合方法可以減少與內(nèi)部部署 DDoS 保護相關的初始投資，同時與專有的基于云的 DDoS 緩解方法相比，為系統(tǒng)提供更多的多功能性和控制。

然而，這種方法的主要缺點是很難將本地硬件與基于云的解決方案集成。不同的云服務將支持不同的硬件（有些根本不提供支持）。因此，通常需要進行廣泛的研究，因此構建這種集成混合系統(tǒng)可能非常耗時。

在當今不斷發(fā)展的 DDoS 攻擊中，每個企業(yè)和在線實體考慮和采用 DDoS 保護策略變得越來越重要。在選擇如何最好地保護您的在線實體免受 DDoS 攻擊時，最好權衡遭受攻擊的潛在風險與可用預算以及您當前緩解 DDoS 攻擊的能力。積極主動地找出 DDoS 保護的最佳方法。當 DDoS 攻擊確實來臨時，您將沒有足夠的時間來計劃響應，因此在遇到任何攻擊之前提前計劃解決方案非常重要。