DDoS(Distributed Denial of Service)指攻击者控制大量主机在同一时段向目标发送异常流量或请求,耗尽带宽、连接表、CPU 或应用资源,使正常用户无法访问。其危害不仅在于「网站打不开」,还包括掩盖入侵、勒索、竞品干扰等次生风险。
一、常见攻击形态
- 流量型(Volumetric):以 UDP Flood、ICMP Flood、反射放大(如 NTP、Memcached)等为主,冲击运营商链路与入口带宽。
- 协议型(Protocol):利用 TCP/SSL 状态机缺陷制造半连接、异常重传或资源耗尽(如 SYN Flood)。
- 应用层(L7):HTTP/S 高频合法形态请求、慢速攻击、恶意 API 调用等,绕过单纯带宽扩容,需行为分析与频控。
二、企业侧防护思路
- 分层部署:在运营商/清洗中心承接超大流量,在 CDN 边缘做 L7 频控与缓存卸载,在源站前保留最小暴露面。
- 弹性与黑洞策略:与上游确认牵引、黑洞(Blackhole)触发条件,避免「打满才响应」。
- 基线与演练:沉淀正常 QPS、连接数、错误码分布;定期开展红蓝对抗与应急预案演练。
- 与高防 CDN 协同:将 Web 业务流量先经过具备清洗与 WAF 能力的边缘,隐藏源站 IP,缩短攻击路径。
三、误区澄清
仅靠「加大带宽」无法应对反射放大与 L7 CC;仅靠「规则黑名单」难以覆盖僵尸网络与拟人化流量。需要容量、算法、情报与流程组合治理。具体防护规格与线路以飞盾高防/清洗产品为准。