有多种方法可以保护您的网络和/或应用程序免受DDoS攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多DDoS缓解方法可用于应对这一挑战，每种方法都有自己的优点和缺点。当今最常见的DDoS防护方法有三种：清洁管道法、CDN稀释法和TCP/UDP-DDoS代理：

清洁管道DDoS保护

清洁管道方法的核心是让所有传入的流量通过一个“清洁管道”，也称为洗涤中心。在这个干净的管道中，将恶意流量与合法流量区分开来，只允许合法用户流量进入网络服务器。CleanPipe保护方法现在非常流行，并由许多ISP和DDoS缓解服务提供。过去，ISP通常使用黑洞来缓解传入的DDoS攻击，其中包括合法流量在内的所有流量都被完全否定。清洁管道保护方法存在一些弱点，即：

1.它们部署起来非常困难且昂贵。您需要一个BGP（边界网关协议路由器）和能够终止GRE隧道的硬件。如今，我们可以使用基于云的服务来解决这个问题，但它们往往非常昂贵。

2.CleanPipe方法涉及将流量重新路由到清洁管道/清洗中心，因此依赖于正确的DDoS检测。此外，重新路由过程从重新路由到缓解过程可能需要至少几分钟的时间。

3.CleanPipe方法在防止基于数据包和应用程序泛洪攻击（第7层DDoS攻击）方面不是很有效。

4.尽管比黑洞好得多，但在允许合法流量方面，CleanPipe涉及混合客户端和服务器端流量，因此缓解配置文件可能非常复杂，因此它可能会引入许多误报（合法流量被阻止）.

清洁管道方法是最通用的，支持几乎所有类型的应用程序。我们可以将CleanPipe方法视为一种全面的、万事通的DDoS保护方法，但它缺乏针对特定应用程序的高级保护（也就是说，它是无所不能的）。

CDN稀释DDoS保护

CDN，即内容交付网络，是一个向用户提供内容的分布式网络系统。因此，离用户最近的服务器将响应请求，而不是您的原始服务器。因此，CDN系统在保护系统免受DDoS攻击方面具有两个关键优势：由于涉及大量服务器，因此带宽总和要大得多。CDN技术具有巨大的带宽，可以有效吸收第3层或第4层DDoS攻击（或容量DDoS攻击）。其次，原始服务器不是响应用户请求的服务器，因此任何DDoS攻击都很难到达该服务器。这并不是说CDN稀释是完美的，因为也有一些缺点：

1.CDN稀释服务成本高昂，并且可能涉及许多隐藏成本，尤其是因为您涉及使用第三方网络

2.与DDoS保护没有直接关系，某些国家/地区已屏蔽了流行CDN的IP地址，因此某些国家/地区的受众可能无法访问您的站点。

3.如果CDN服务器关闭（这是可能的），源服务器很容易受到DDoS攻击。

4.CDN仅适用于Web应用程序，您不能在专有TCP/UDP应用程序上使用它

CDN服务器是应用程序上下文感知的，并且与CleanPipe（无前置时间）相比，动作更快。因此，除非您使用专有TCP/UDP应用程序，否则CDN稀释可能是一个很好的DDoS保护解决方案。

TCP/UDP代理DDoS防护

如果您的网站/平台包含TCP或UDP服务，例如电子邮件(SMTP)、SSH访问、游戏服务等，请了解它们的开放端口可能意味着DDoS攻击的漏洞。为了解决这个问题，放置了一个基于TCP/UDP的代理，其工作方式类似于基于CDN稀释的保护。在这种方法中，数据包被发送到TCP/UDP反向代理，然后过滤掉恶意流量和数据包。与之前的两种DDoS保护方法一样，这种方法也有缺点：

1.后端的源IP将更改。由于我们无法获得真实访问者的IP，这可能是一个额外的漏洞。

2.TCP/UDP代理的配置基于每个应用程序而不是每个域（如CDN稀释）。

3.与CDN稀释相比，它更容易出现误报（在这方面与CleanPipe方法非常相似）。

TCP/UDP反向代理非常通用且准确，因为它可以允许定义的端口访问而不是打开所有端口。此外，它非常擅长吸收缓慢的DDoS攻击。

不同的DDoS保护模型

此外，我们可以根据它在您的系统上的实施方式来区分DDoS保护：

本地DDoS保护模型

在此模型中，DDoS保护系统是在您的企业场所（即您的数据中心）实施的。这种模式的好处非常明显：您可以直接控制一切，因此您可以随时更新、更改、添加或删除DDoS保护系统的任何方面。以下是此DDoS保护模型的其他一些优势：

1.响应速度。这种DDoS保护模型的主要优势之一。当检测到攻击时，您的内部团队可以使用内部部署系统立即响应DDoS攻击

3.在处理低级别DDoS攻击方面要好得多

4.您不必与第三方DDoS服务供应商共享私钥

简而言之，通过内部部署的DDoS保护方法，您始终可以拥有最佳的多功能性并控制您的策略。如果您的网站或系统反复受到DDoS攻击，那么从长远来看，内部部署解决方案可以节省时间和金钱，您还可以根据系统的确切需求定制保护策略。

内部部署DDoS模型确实有一些缺点：

1.可扩展性。即使是最先进的本地DDoS保护硬件也无法应对当今的一些大型DDoS攻击

2.很少有供应商为内部部署解决方案提供全面的DDoS硬件，因此您可能需要与多个不同的供应商合作。这可能是一个耗时的过程。

3.这种方法的最大问题可能是成本。投资DDoS保护硬件可能非常昂贵，但只有在您受到攻击时才能提供价值。显然我们不想经常受到攻击，所以如果你很幸运，你可能只使用这些解决方案一次

4.并非所有内部部署硬件解决方案都可以与云解决方案（我们将在下面讨论）一起使用，如果您需要进行升级或更改，这可能是一个问题

基于云的DDoS防护模型

正如我们上面所讨论的，本地DDoS解决方案的一个主要问题是成本。您需要投资复杂且昂贵的硬件，例如负载平衡器和硬件防火墙等。因此，许多公司已转向采用基于云的DDoS保护解决方案，这通常更实惠，因为我们不需要投资基础设施和设备（至少，我们可以降低成本）。此外，我们可以消除维护这些DDoS硬件解决方案的人力资源成本。这并不是说这种基于云的DDoS保护方法更简单、更好，我们需要考虑以下因素：

1.解决方案的声誉和客户评论。在当今时代，这是需要考虑的非常重要的一步，除了提供的一系列功能外，我们还必须考虑客户服务方面

2.支持协议的基于云的解决方案的功能、流量检查过程的细化程度、分析方法等。

3.多功能性，例如创建自定义配置和临时策略的可能性

4.DDoS保护解决方案将如何分析和区分合法流量和恶意流量。不同的解决方案可能提供不同的方法，不同的公司可能因其独特的客户档案而有不同的需求。

5.可扩展性。我们如何根据用户不断变化的需求来扩展云解决方案。

6.支持某些硬件，以及冗余功能的可用性。

7.关于报告/警报系统的方法，不同的解决方案可能提供非常不同的报告级别。由于响应速度在DDoS缓解中极为重要，因此这是一个非常重要的考虑因素。

8.根据不断变化的DDoS威胁，在正常运行时间和持续更新方面的可靠性。

9.控制传入和传出流量的能力，以防止攻击者利用我们受损的网络资源进行恶意使用。

现在有许多公司使用不同的技术和方法提供基于云的DDoS保护软件和服务（请参阅我们的上一节）。与内部部署的DDoS保护方法相比，这些基于云的解决方案也存在一个明显的缺点：控制。

无论这些基于云的第三方解决方案有多好，您都无法直接控制他们的服务。例如，如果他们的系统由于某种原因遭到破坏，那么您的系统也将容易受到攻击。这就是为什么如果您决定采用这种模式，选择信誉良好的DDoS服务非常重要。

混合DDoS保护模型

顾名思义，这种方法结合了两全其美，在内部部署和基于云的保护解决方案之间创建了一个封闭的反馈循环。这种方法允许更精细地报告攻击，同时允许我们在组合这些资源的同时定制缓解策略。

这种方法的主要优势之一是能够实施多层系统，在该系统中，低级别DDoS攻击（第3层和第4层）通过网络层内部部署保护（如IP信誉集成和强大的防火墙）得到缓解。同时，应用层可以处理SSL终止和Web应用防火墙。另一方面，基于云的保护可以保护内部部署系统免受大型DDoS攻击，这通常是内部部署保护的祸根。

如果操作得当，这种方法可以在所有层提供强大的DDoS保护，保护系统免受随机HTTP洪水、DDoS爆发、协议级攻击、缓存绕过和其他类型的DDoS攻击。

此外，DDoS保护的混合方法可以减少与内部部署DDoS保护相关的初始投资，同时与专有的基于云的DDoS缓解方法相比，为系统提供更多的多功能性和控制。

这种方法的主要缺点是很难将本地硬件与基于云的解决方案集成。不同的云服务将支持不同的硬件（有些根本不提供支持）。因此，通常需要进行广泛的研究，因此构建这种集成混合系统可能非常耗时。

在当今不断发展的DDoS攻击中，每个企业和在线实体考虑和采用DDoS保护策略变得越来越重要。在选择如何最好地保护您的在线实体免受DDoS攻击时，最好权衡遭受攻击的潜在风险与可用预算以及您当前缓解DDoS攻击的能力。积极主动地找出DDoS保护的最佳方法。当DDoS攻击确实来临时，您将没有足够的时间来计划响应，因此在遇到任何攻击之前提前计划解决方案非常重要。