什么是DDoS？DDoS代表“分布式拒绝服务”。”DDoS攻击是恶意尝试使服务器或网络资源对用户不可用，通常是通过暂时中断或暂停连接到Internet的主机的服务。与拒绝服务(DoS)攻击（其中使用一台计算机和一个Internet连接用数据包淹没目标资源）不同，DDoS攻击使用多台计算机和许多Internet连接，这些连接通常分布在全球范围内，称为僵尸网络。

Anti-DDoS防护技术

DDoS攻击主要有3种类型，每种类型都有自己独特的保护策略和工具：

基于卷的攻击：基于容量的攻击会产生大量的网络级请求，使网络设备或服务器不堪重负。这些可能包括UDP泛洪、ICMP泛洪和其他使用欺骗网络数据包的攻击。为了防止基于流量的攻击，反DDoS提供商执行大规模“清理”，使用云服务器检查流量，丢弃恶意请求并让合法请求通过。这种方法可以应对大规模、数GB的DDoS攻击。这也称为DDoS通缩。

协议攻击：协议攻击会生成利用网络协议弱点的请求。其中包括SYN泛洪、碎片化数据包和PingofDeath。为了防止协议攻击，反DDoS工具通过在不良流量到达您的站点之前阻止它来减轻协议攻击。高级解决方案可以分析流量并将合法用户与恶意、自动化的客户端和机器人区分开来。

应用层攻击：在应用层攻击中，攻击者向Web应用程序或其他软件应用程序生成大量请求，这些请求似乎来自合法用户。其中包括GET/POST泛洪、低速攻击或针对Apache或Windows漏洞的特定攻击。为了防止应用层攻击，反DDoS系统会监控站点访问者的行为，阻止负责应用层攻击的恶意机器人，并使用多种机制（例如JavaScript测试、cookie挑战和CAPTHA）挑战无法识别的访问者。

防DDoS软件解决方案

Anti-DDoS软件在现有硬件上运行，分析并过滤掉恶意流量。通常，Anti-DDoS软件比基于硬件的解决方案更具成本效益且更易于管理。基于软件和脚本的解决方案只能提供部分DDoS攻击保护，容易出现误报，并且无助于缓解基于数量的DDoS攻击。本地安装的软件比设备或基于云的解决方案更容易不堪重负，后者在面对大型攻击时更具可扩展性。

DDoS攻击试图通过用大量看似合法的请求淹没服务器/防火墙来压倒它。传统防火墙难以有效拦截DDoS攻击，往往自身成为海量请求的瓶颈，使攻击更加严重。传统防火墙的一些弱点可以通过调整网络拓扑结构以及优化防火墙和入侵防御/检测系统(IPS/IDS)的部署和配置来缓解。但即使是最佳的防火墙部署和配置也无法消除DDoS损害，尤其是在应用层攻击场景中。

Web应用程序防火墙(WAF)可以充当反DDoS防火墙，可以智能地清除不良请求，是DDoS保护的有效且经济的替代方案。WAF通常部署在云中，通过发送cookie或其他响应来响应可疑的应用程序请求——在允许访问系统之前确保用户是真实的并且请求是有效的。

防DDoS硬件解决方案

防DDoS硬件是潜在攻击者和您的网络之间的物理保护层。尽管抗DDoS硬件可以防止某些类型的攻击，但其他类型（如DNS攻击）完全不受硬件影响，因为损坏甚至在流量到达设备之前就已完成。硬件保护可能很昂贵。除了硬件本身的资本支出外，维护、安置和运行设备所需的设施和熟练人力还需要大量运营费用。额外的成本是设备折旧和升级。

防DDoS托管

降低DDoS攻击风险的一种常见方法是与支持DDoS的托管服务提供商签订合同，该提供商已经拥有在发生DDoS攻击时吸收不良流量所需的设备。Anti-DDoS托管的效率有限，并且比传统托管成本高得多。在Anti-DDoS托管生态圈中，网站所有者通常有两种选择：

这两个选项都没有提供智能应用层DDoS缓解。此外，Anti-DDoS托管的成本效益低于其他选项，因为吸收DDoS流量是有代价的，并且不提供基于智能行为/签名的识别。在典型的Anti-DDoS托管场景中，网站所有者会持续为用于吸收潜在攻击的带宽付费——即使没有此类攻击正在进行。一个更具成本效益和灵活性的选择是识别攻击，并按需扩展以响应它们。