DDOS攻击是目前最强大、最难防御的网络攻击之一，主要通过大量合法的要求占用大量网络资源，从而使正常的用户没法访问。二十年来，DDoS一直是网络犯法份子进行攻击的一个重要的工具，现在发展得也愈来愈强大，感染蔓延的愈来愈广泛。在DDOS不断“进化”的同时，我们的DDOS防御方式也在不断的发展和演化。今天小刀云安全就来分享一下这二十多年来DDOS防御的发展和演化。

1. 内核优化时期

在初期时期，没有专业的防护清洗装备来进行DDoS防御，当时互联网的带宽也比较小，很多人都是在用56K的modem拨号上网，攻击者可以利用的带宽也相对照较小，对防御者来讲，一般通过内核参数优化、iptables就可以基本解决攻击，有内核开发能力的人还可以通过写内核防护模块来提升防护能力。

在这个时期，利用Linux本身提供的功能就能够基本防御DDoS攻击。比如针对SYN FLOOD攻击，调剂net.ipv4.tcp_max_syn_backlog参数控制半连接队列上限，避免连接被打满，调剂net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout来控制tcp状态保持在TIME-WAIT，FIN-WAIT⑵的连接个数;针对ICMP FLOOD攻击，控制IPTABLES来关闭和限制ping报文的速率，也能够过滤掉不符合RFC协议规范的畸形报文。但是这类方式只是在优化单台服务器，随着攻击资源和力度的逐步增强，这类防护方式就显得力不从心了。

2. 专业anti-DDoS硬件防火墙

专业anti-DDoS硬件防火墙对功耗、转发芯片、操作系统等各个部份都进行了优化，用来满足DDoS流量清洗的诉求。 一般IDC服务提供商会租赁anti-DDoS硬件防火墙，部署在机房入口处为全部机房提供清洗服务，这些清洗盒子的性能从单台百兆的性能，逐渐发展到1Gbps、10Gbps、20Gbps、100Gbps或更高，所提供的清洗功能也基本涵盖了3⑺层的各种攻击(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP连接型FLOOD、CC攻击、DNS-FLOOD、反射攻击等)。

这类方式对IDC公司来说有相当高的本钱，每一个机房入口都需要有清洗装备覆盖，要有专业的运维人员来保护，而且其实不是每一个IDC机房都可以有同等的清洗防护能力，有的小机房上联可能只有20G带宽，且不具有复用这些清洗装备的能力。

3. 云时期的DDoS高防IP防护方案

在云时期，服务部署在各种云上，或传统的IDC机房里面，他们提供的DDoS基础清洗服务基本上都很小，在遭遭到超大流量DDoS攻击情况下，托管所在的机房其实不能提供对应的防护能力，为了保护他们的服务不受影响，就会有直接“黑洞”。黑洞是指服务器受攻击流量超过IDC机房黑洞阈值时，IDC机房会屏蔽服务器的外网访问，避免攻击延续，影响整体机房的稳定性。

在这类情况下，像墨者安全的DDoS高防IP是通过建立各种大带宽的机房，提供整套的DDoS解决方案，将流量转到DDoS高防IP上进行防护，然后再把清洗后的干净流量转发回用户真实的源站。这类方式会复用机房资源，专业机房做专业的事情。简化DDoS防护的复杂度，以SaaS化的方式提供DDoS清洗服务，保障企业服务器的正常运行

慢要求攻击和防御方式

慢要求攻击是这几年新兴的攻击方式，通过大量的肉鸡发起大量的要求，每一个肉鸡每秒只要求1次，大量肉鸡会致使服务器遭受大量的攻击要求，但每一个源IP看着却没有异常行动。慢要求攻击示意图:

如何防御慢要求攻击？

方案1：主要是扩大后端业务服务器范围来死扛这类攻击，本钱极高，但是能解决。

方案2：寻觅专业的云安全服务提供商，解决这类攻击。

脉冲型攻击和防御方式

脉冲型的攻击可以在短时间内发起屡次DDoS攻击，并且快速停止，快速打击，这对很多云安全防御公司来讲就是噩梦。脉冲波型DDoS相对难以防御，由于其攻击方式避开了触发自动化的防御机制。在“脉冲波”延续进程中，被攻击者的网络堕入了瘫痪，而当网络恢复时，又发起新一波脉冲攻击，乃至能发起更多同步攻击，让被攻击者防不胜防。

如何防御脉冲型DDoS攻击？

脉冲型DDoS攻击防御难度极高，只需要100G⑵00G的攻击流量便可瘫痪T级别的防御，对DDoS清洗装备的压力和可靠性要求巨大。没办法自己解决，只能依托专业的云安全公司解决，并且是有足够强大的研发能力和技术支持能力的。

<可直接扫码添加咨询>