面对 DDoS 攻击，我们能做些什么？

DDoS 事件屡见不鲜，缺乏经验的中小企业、初创业务如何有效地防范 DDoS 攻击？攻防成本极度不对等之痛又该如何解决？

近期，某款国产手机游戏上线仅一天就被某黑客组织攻击敲诈导致暂时关服的消息，受到了网友们的广泛关注，在引发惊讶和愤怒的同时，也让“DDoS攻击”、“网络安全“等概念再一次出现在人们的视野中。

何为 DDoS？

DDoS全称为分布式拒绝服务攻击（Distributed denial of service attack），一般指攻击者利用网络上已被攻陷的电脑，在较短的时间内对目标网站发起大量请求，大规模消耗目标网站的主机资源，让其无法正常服务。其中在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

DDoS 攻击会对您的业务造成以下危害：

• 当 DDoS 攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务，最终造成巨大经济损失。
• 由于某些行业的恶性竞争，竞争对手可能会通过 DDoS 攻击手段来打击您的业务，最终导致您的业务在竞争中失败。

DDoS 攻击”历险记“

举个例子。

背景：企业 A 的 test 业务一个月内遭遇多次 DDoS 攻击，攻击流量从最初的不到 10 Gbps 到最后攻击流量高达 300 多 G 。

业务域名：test.com

域名解析的 IP：主 CLB 1.1.1.1 (公网带宽 1 Gbps)、备份 CLB 1.1.1.2

第一波 DDoS 攻击属于试探性的,采用的是 SYN Flood 攻击，攻击流量 8 Gbps。假设攻击目标 IP：1.1.1.1 ，当时业务架构图如下图所示：

由于攻击流量没有超过赠送的防护流量 10 G，所以本次攻击对 test 业务没有任何影响，同时也没有引起企业 A 的重视。

第二波 DDos 攻击的流量已经增加到 40 Gbps，由于本次攻击远远超过赠送的 10 G 防护值（也超过 CLB 的公网带宽 1 Gbps），导致主 IP：1.1.1.1 被封禁后业务 test 无法访问。

虽然主 CLB 因为 DDoS 攻击无法提供服务，但是可以通过 DNSpod 快速切换到备份 VIP：2.2.2.2 实现在 10 分钟内恢复了 90% 的用户访问（前提是准备了备份 VIP 可以切换）。

针对上述场景有两种解决方案：

• 将重要的业务 VIP 加入到高防包，那么后续攻击会通过高防包来清洗攻击流量；
• 将重要的业务 VIP 绑定到高防 IP，那么后续攻击会先经过高防 IP 清洗后回源到实际业务 VIP。

最终公司 A 选择了最大防护能力为 300 G 的高防 IP，来规避类似 DDoS 攻击。

第三波 DDos 攻击的流量增加到 160 Gbps，由于购买了高防 IP 防护能力高达 300G，所以本次攻击对业务没有影响。

虽然本次攻击防护成功，但是还需要考虑极端情况，如果攻击流量超过 300G，那么还是有影响业务访问的风险。为了防护超 300G 攻击流量，建议购买三网防护 IP，理论上可以提供 1 Tbps防护能力。

第四波 DDoS 攻击的流量超 300 Gbps，导致高防 IP：3.3.3.3 被封禁，但是兜底方案通过 cname 自动切换解析指向三网 IP（分别是电信、联通、移动的公网 IP）最终恢复业务访问。

当高防 IP 被封禁后会立即通过 cname 切换解析到三网 IP，整个解析切换过程是秒级的，也就是虽然高防IP被封禁但是恢复时间可以做到秒级。

通过该案例可以看出，攻击从一开始的试探性，到逐步加大攻击流量，业务影响时长从分钟级到秒级。但只要防护到位还是可以减少业务受损时长，甚至可以完全规避业务受损。

但是安全防护能力是需要付出成本的，也有很多企业因为成本原因选择更适合自身的防护方案。

中小企业 DDoS 防范之痛？

那么，面对如洪水猛兽般的 DDoS 攻击，业务该如何防范呢？

目前，业界主要通过购买防护方案，即高防包来应对攻击。

值得注意的是，发起 DDoS 攻击的成本并没有想象中那么高！某些平台上，几十块钱就能买到 DDoS 攻击或”压力测试“，但反观企业需要付出的防御成本，一个只有 20 Gbps 的防护至少也需要约 6000 元，对于中小和小微企业来说，这种攻守成本的极度不对等是 DDoS 防范中的常见问题之一（数据来源于网络）。

因此，高防方案固然有效，但不一定适合每一个业务。那么，目前有没有更加全面、更加通用的解决方案呢？

有！微信云托管不仅能赋予业务免运维和弹性伸缩的能力，还为小程序、小游戏免费提供防 DDoS 攻击、防网络劫持等网络安全能力！未来还会将能力进一步开放给 Web、APP（开发中，具体以实际上线效果为准）。

使用微信云托管，业务的公网数据，经过一个简单的 API 替换，就可以自动转译成微信的私有协议，不再提供公网访问的 HTTPS 入口，而且企业无需改造存量业务，只需要改变前端的接口调用方式，即可将业务跑在微信的安全通道中，最终到达业务的后台服务。

由于使用非公网的微信私有链路，业务可以有效解决以下问题：

● 竞争对手爬取数据

● DDoS攻击

● 网络劫持

● 弱网络访问不稳定

此外，微信云托管还具有不限语言框架、自带弹性扩缩、免域名、免备案、免运维、境外加速等优势。点此了解更多>>>

现在体验微信云托管，立享首月免费（复制到 PC 端浏览器访问）：https://cloud.weixin.qq.com/cloudrun

*本文部分内容取自「云加社区」公众号，作者李彬文。