DDoS防御發(fā)展史
DDoS(Distributed Denial of Service，分布式拒絕服務(wù))主要通過大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，是目前最強(qiáng)大、最難防御的網(wǎng)絡(luò)攻擊之一。

DDoS作為一種古老的攻擊方式，其防御方式也經(jīng)歷了多個(gè)發(fā)展階段：
1. 內(nèi)核優(yōu)化時(shí)代
在早期時(shí)代，沒有專業(yè)的防護(hù)清洗設(shè)備來進(jìn)行DDoS防御，當(dāng)時(shí)互聯(lián)網(wǎng)的帶寬也比較小，很多人都是在用56K的modem撥號(hào)上網(wǎng)，攻擊者可以利用的帶寬也相對(duì)比較小，對(duì)于防御者來說，一般通過內(nèi)核參數(shù)優(yōu)化、iptables就能基本解決攻擊，有內(nèi)核開發(fā)能力的人還可以通過寫內(nèi)核防護(hù)模塊來提升防護(hù)能力。
在這個(gè)時(shí)期，利用Linux本身提供的功能就可以基本防御DDoS攻擊。比如針對(duì)SYN FLOOD攻擊，調(diào)整net.ipv4.tcp_max_syn_backlog參數(shù)控制半連接隊(duì)列上限，避免連接被打滿，調(diào)整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout來控制tcp狀態(tài)保持在TIME-WAIT，F(xiàn)IN-WAIT-2的連接個(gè)數(shù);針對(duì)ICMP FLOOD攻擊，控制IPTABLES來關(guān)閉和限制ping報(bào)文的速率，也可以過濾掉不符合RFC協(xié)議規(guī)范的畸形報(bào)文。但是這種方式只是在優(yōu)化單臺(tái)服務(wù)器，隨著攻擊資源和力度的逐漸增強(qiáng)，這種防護(hù)方式就顯得力不從心了。
2. 專業(yè)anti-DDoS硬件防火墻
專業(yè)anti-DDoS硬件防火墻對(duì)功耗、轉(zhuǎn)發(fā)芯片、操作系統(tǒng)等各個(gè)部分都進(jìn)行了優(yōu)化，用來滿足DDoS流量清洗的訴求。 一般IDC服務(wù)提供商會(huì)購(gòu)買anti-DDoS硬件防火墻，部署在機(jī)房入口處為整個(gè)機(jī)房提供清洗服務(wù)，這些清洗盒子的性能從單臺(tái)百兆的性能，逐步發(fā)展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，所提供的清洗功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。
這種方式對(duì)IDC服務(wù)商來講有相當(dāng)高的成本，每個(gè)機(jī)房入口都需要有清洗設(shè)備覆蓋，要有專業(yè)的運(yùn)維人員來維護(hù)，而且并不是每個(gè)IDC機(jī)房都可以有同等的清洗防護(hù)能力，有的小機(jī)房上聯(lián)可能只有20G帶寬，且不具備復(fù)用這些清洗設(shè)備的能力。
3. 云時(shí)代的DDoS高防IP防護(hù)方案
在云時(shí)代，服務(wù)部署在各種云上，或者傳統(tǒng)的IDC機(jī)房里面，他們提供的DDoS基礎(chǔ)清洗服務(wù)標(biāo)準(zhǔn)并不一致，在遭受到超大流量DDoS攻擊情況下，托管所在的機(jī)房并不能提供對(duì)應(yīng)的防護(hù)能力，不得已，為了保護(hù)他們的服務(wù)不受影響，就會(huì)有“黑洞”的概念產(chǎn)生。黑洞是指服務(wù)器受攻擊流量超過IDC機(jī)房黑洞閾值時(shí)，IDC機(jī)房會(huì)屏蔽服務(wù)器的外網(wǎng)訪問，避免攻擊持續(xù)，影響整體機(jī)房的穩(wěn)定性。
在這種情況下，DDoS高防IP是通過建立各種大帶寬的機(jī)房，提供整套的DDoS解決方案，將流量轉(zhuǎn)到DDoS高防IP上進(jìn)行防護(hù)，然后再把清洗后的干凈流量轉(zhuǎn)發(fā)回用戶真正的源站。這種方式會(huì)復(fù)用機(jī)房資源，專業(yè)機(jī)房做專業(yè)的事情。簡(jiǎn)化DDoS防護(hù)的復(fù)雜度，以SaaS化的方式提供DDoS清洗服務(wù)。

硬件防火墻

大規(guī)模集群服務(wù)器
由此可以看出，云時(shí)代的DDoS