DDoS 攻擊是網路攻擊最常用的方式之一，也是企業發展道路上的阻礙。作為業務發展的巨大隱形“地雷”，企業想要自建 DDoS 防禦的技術門檻很高，且建設週期不可控。這給予了安全廠商海量的市場機會，但是在琳琅滿目的產品市場中，廠商需要如何快速佔領市場，獲得客戶？知己知彼的需求理解可以開啟行業賽道，非常夯實的產品效能可以讓自己在賽道上奔跑起來，而如何在彎道上超車則需要更創新的技術產品，以及順勢而為的洞悉佈局。 2018，一起 Memcached 反射放大攻擊的流量峰值達到了 1.7Tbps，當時很多安全媒體用了核彈級這個詞彙，影響程度已經令人咋舌。然而，今年，DDoS 攻擊流量峰值再創新高。 ## DDoS攻擊現狀 智慧技術開啟了人類社會發展的嶄新一頁，生活方式迎來翻天覆地的便捷革命的同時，網路威脅者也露出了更加猖獗的笑容，典型的趨勢之一則是：DDoS 攻擊的流量峰值從 G 時代正式跨入了 T 時代。 Neustar 公司安全運營中心(SOC)表示，在今年 2月記錄了對 Amazon Web Services 客戶端的 2.3Tbps 攻擊，這是有記錄以來最大的體積 DDoS 攻擊，持續了五天零十八小時。該事件宣告著 2Tb 級攻擊時代正式來臨，巨大的破壞力再一次引起人們的注意。 儘管，Tb 級別的 DDoS 攻擊事件比較罕見，但令人擔憂的是其他流量級別的 DDoS 攻擊已經成為一種“常態”。  今年全球疫情加速了線下業務向線上轉移的速度，如大量企業開始探索遠端辦公，此外，國內也在大力推動新基建，企業的數字化轉型正在如火如荼的進行，這讓 DDoS 攻擊者擁有大量可乘之機。  根據網路安全公司 Neustar 的報告，與去年同期相比，今年上半年分散式拒絕服務(DDoS)攻擊的數量增加了 151%。同時，與上年同期相比，今年上半年的攻擊總數增加了 2.5 倍以上。其中，100Gbps 以上的攻擊數量增長了 275%，而小型攻擊(5Gbps及以下)的數量增長了 200% 以上。 此外，值得注意的是，Neustar 還提到，一半以上的緩解威脅利用了三個或更多的媒介，這清楚地表明攻擊正在變得越來越複雜。 ## 安全“高壓”下的企業生存現狀 隨著業務的多元以及市場競爭的激烈發展，商業競爭、惡意報復、勒索甚至是發洩不滿，都可能成為企業遭受 DDoS 攻擊的緣由。有資料統計顯示，超過 8 成的企業在近一年內都遭受過 DDoS 攻擊，顯然，DDoS 攻擊已經成了為針對企業的普遍攻擊手段。而且，DDoS 的攻擊時段多為業務高峰期或線上人數最多時段，以達到最大的破壞效果，這對於追求盈利的企業來說，會造成巨大的品牌影響力損害以及財務損失。 針對這個常見的網路攻擊方式，很多企業的應對方式是部署帶有抗 D 功能的 WAF 產品。但是，這種捆綁功能，實際上只能針對小流量，或者應用層的攻擊，有一定效果。DDoS 攻擊流量達到一定的峰值，只靠防護裝置是很難擋住，需要選擇更專業的抗 D 產品。 藉助運營商的能力，進行緊急擴容或開啟流量清洗，針對反射放大類攻擊,或直接在運營商側進行過濾,都會提升抗 DDoS 攻擊的防禦效果。目前市場上專業的抗 D 產品一般可以分成這幾類：本地裝置清洗、運營商清洗、雲清洗和一些新技術在抗 D 中的應用。相比之下，傳統安全廠商提供抗D硬體盒子, 如流量清洗裝置；雲安全廠商所提供的 SaaS 模式部署的抗 D 服務，更容易被接受，且成本及人力投入也更小。 目前，流量清洗市場主要由阿里雲等行業巨頭佔據主導地位，該類廠商的產品效能較強，但價格高昂。這對於一般的中小企業或者一些個人使用者來說，有相當大的價格壓力。如何兼顧到這群客戶的需求？市場上出現了高性價比，實用效能的產品，如又拍雲 DDoS 高防 IP 產品。 ## 又拍雲高防 IP 產品體驗 又拍雲 DDoS 高防 IP 是針對容易遭受大流量 DDoS 攻擊的電商、金融、遊戲等型別的客戶專門推出的增值雲防護服務。當攻擊發⽣時，所有攻擊流量將被牽引到⼜拍雲分佈各地的不同⾼防節點，分散式處理完成後，將正常流量返回最終源站。具體應用流程為：使用者可通過配置高防 IP，當其域名或源站 IP 在遭受⼤流量的 DDoS 攻擊時，通過⾼防 IP 代理源站 IP ⾯向⽤戶，隱藏源站 IP ，將攻擊流量牽引到⾼防 IP 進⾏清洗後，把正常訪問的流量返回源站，確保源站的安全穩定。 FreeBuf 通過一次實際操作體驗了該產品的全流程運用，旨在分析較為真實的使用者體驗。 在又拍雲官網上成功進入控制檯總覽介面，可以發現，又拍雲的產品分為基礎產品與增值服務兩個板塊：基本產品均可免費使用，而增值服務則需要進行付費購買。 其中，需要使用到 SSL 證書服務於 DDoS 高防 IP 兩項增值服務。新增完證書之後，進入 DDoS 高防 IP 管理控制檯介面。此時可進行選擇服務購買，可見的是又拍雲提供多種付費模式套餐。   完成購買服務後，列表中即會出現該叢集策略，可以在策略中配置白名單，避免誤傷友軍（此步驟需要聯絡客服進行協助）。配置完例項之後，即可切換到域名解析列表。  點選右上角的“新增轉發規則”則可以定義高防叢集轉發規則。如果使用者需要新增的域名協議為 HTTPS，則需要上傳新增證書。   新增完成之後，即可開啟對應的 WEB 基礎防護。此時高防業務正式上線開始運作。  值得一提的是，後續運營管理者可以在防護報表來對 DDoS 流量與威脅風險事件進行檢視。同時，如果有多個叢集策略的話，亦可以選擇不同的叢集例項來檢視流量圖譜。  事件記錄中，風險和威脅都會被實時記錄。可以直觀地查詢和了解具體情況。  ## 高性價比的產品或實現彎道超車 通過對於產品的實操，以及結合相應的官方資料及實驗資料，可以將又拍雲的高防 IP 產品亮點分析為三個方面： 第一：總體來看，該產品擁有較高的價效比，與大安全廠商昂貴的價格相比，是適合小企業及個人的選擇。遊戲企業是該類攻擊的主要受害者，其中不乏大量的小型企業。一般這型別客戶面臨的問題包括：預算有限，安全專業人士有限，企業安全配置能力有限。他們對於安全產品的價效比非常看重。 這款產品可以較好地協調上述問題：首先，⾼防 IP 提供線上 SaaS 服務接⼊⽅式，⽤戶不需要購買任何硬體設施，可直接使⽤⾼防 IP 服務，⾃助配置管理。據官方給出的資料顯示，只要⽹站或應⽤具備正規運營的資質，通過簡單的 DNS 操作，在 10min 內即可接⼊防護。而且，通過測評過程可以發現，其控制檯⽀持 DDoS 流量資料透明化展示。這對於資源有限的企業來說，這樣靈活便捷部署，且視覺化的資料呈現方式可以減輕更多的人力資源投入，降低管理運營門檻。   此外，在頻寬方面，該產品的上限能力無法與大廠商媲美，但是 50G 的保底頻寬可滿足一般的中小企業，且其價格相對便宜，使用者也可根據⾃身業務需求選擇合適防護頻寬，節省費⽤。 值得一提的是，雲抗 D 產品輕便易用的特點也符合抗 D 產品的發展趨勢。又拍雲曾獲得 2020 數字新基建·年度最佳雲服務模式創新獎（中國雲體系產業創新戰略聯盟），這表明其發展空間比較大的同時也擁有相應的基礎實力。隨著單點防護的邏輯正在向一體化功能邁進，該產品如果整合其他安全防護的功能，對於客戶，特別是中小企業來說將更便捷，且有更高的安全係數。 第二，專業防護能力較好。從一次實際的攻擊測試記錄中可以分析出其防護能力。首先，從流量清洗效率來看，該產品在 15 分鐘內可以將異常流量大幅度降低，半小時內完成流量清洗。  在可抵禦的最大流量方面，其支援異地多節點多線路防護，單點防禦可達 2T，全⽹總防禦近 10T。可抵禦的流量型別方面，其⽀持 BGP 、電信、 聯通、移動等多類線路，可以有效防禦 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等。 市場上很多抗 D 產品面臨產品能力問題，特別是針對 CC 攻擊，產品防禦效果不明顯，以及攻擊視覺化、溯源等能力不足的問題。相比之下，又拍雲的產品在防護能力和產品端方面都有不錯的一面。  第三，該產品延展性較強，⽀持 TCP、UDP、HTTP、HTTPS 等協議，針對不同場景、不同型別的攻擊均可防禦，滿⾜電商、⾦融、遊戲等各種型別的業務需求。這對於涉及多領域業務的企業來說是一個有利的訊息，可以避免多個產品部署的繁瑣。 #### 推薦閱讀 [伺服器標配 SSH 協議，你瞭解多少？](https://www.upyun.com/tech/article/604/%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%A0%87%E9%85%8D%20SSH%20%E5%8D%8F%E8%AE%AE%EF%BC%8C%E4%BD%A0%E4%BA%86%E8%A7%A3%E5%A4%9A%E5%B0%91%EF%BC%9F.html) [技術選型：為什麼批處理我們卻選擇了Flink](https://www.upyun.com/tech/article/587/%E6%8A%80%E6%9C%AF%E9%80%89%E5%9E%8B%EF%BC%9A%E4%B8%BA%E4%BB%80%E4%B9%88%E6%89%B9%E5%A4%84%E7%90%86%E6%88%91%E4%BB%AC%E5%8D%B4%E9%80%89%E6%8B%A9%E4%BA%86Flin