UCloud优刻得：企业“出海”DDoS攻击防不胜防？老司机教你几招快速应对

防御DDoS攻击的两种方式

但企业在DDoS攻击防御的同时，也将面临两个问题：接入防护后的代理模式将攻击流量引导至第三方，不可避免增加延时; 防护能力越强防护成本越高，回源带宽也是一笔很高的成本。针对企业面临的这两个痛点，冯业浩接下来重点介绍了UCloud优刻得在 DDoS攻击防护方面做了哪些工作。

DDoS攻击一般来说可以分成两大类，一类是协议攻击，一类是流量攻击。所谓协议攻击，最常见的是syn flood攻击，即攻击者通过发送大量的syn包建立大量半开连接，耗尽用户主机的资源，从而导致用户的主机崩溃，不能够正常对外提供服务;流量攻击，就是采用大流量的攻击，占满用户的带宽，使得用户的正常流量被丢弃。举一个比较典型的例子：2018年GitHub遭遇到了史上最严重的一次DDoS攻击，其峰值带宽高达1.35T，这次攻击就是黑客利用了memcached的反射漏洞,发起了一次反射的流量攻击。

而防御DDoS攻击一般来说有两种方式,一种方式就是在业务机房边缘去做流量清洗，此时业务机房需要具备足够大的上联带宽，将正常流量和攻击流量全部收进来之后，在业务机房的边缘还需要有一套分析设备和一套清洗设备，分析设备通过对流量的镜像分析，可以分析出哪个IP被攻击了;而清洗设备一旦发现哪个IP被攻击之后，就会发起流量的牵引，将被攻击的IP的所有的流量引入清洗模块;清洗模块根据攻击的特征筛选掉攻击的流量，从而将正常的流量下放至客户的源站。

第二种方式则是用专门的高防机房，比如说客户的业务需要部署在自己的业务机房内，而将入口放在高防机房中。高防机房通常都有足够大的上联带宽，会对流量进行清洗，从而将正常的流量通过公网回源至用户的源站。

第一种方式要求业务机房有足够大的上联带宽，同时每个业务机房都必须有足够强大的清洗和分析设备，这个条件对于很多企业来说还是比较苛刻的。而如果采用第二种专门的高防机房的方式，由于它是一种代理的模式，因此不可避免会引入额外的网络延时。此外回源机房也是需要一部分的外网带宽的，这部分成本也是相当大的。

总的来说，一个高防防护的IP地址，它的延时和它的防护能力，是鱼和熊掌不可兼得的。防护等级越高，一般来说，延时会有一些比较明显的影响。因此企业根据可能被攻击的量级来选择合适的DDoS攻击防护方式才是最好的选择。

UCloud优刻得基于全球的流量分级防护方案

对此，UCloud优刻得推出了一套基于全球清洗能力的全球分级解决方案。在攻击的量级在20G以下的时候，推荐使用本地清洗;在70G以下的时候，推荐使用高防EIP;而如果攻击流量达到70G以上，则推荐使用分布式高防，即UCloud优刻得亚太高防和Anycast全球清洗。

本地清洗产品的防护阈值上限为20G，虽然它的防护阈值不是很高，但是可以抵御小规模的DDoS攻击，且好处是用户一旦购买该服务后，其账户下所有的EIP

都能够享受到相关的DDoS防御的服务。此外EIP的延时不会有任何的影响，可以像使用正常的EIP一样使用它。

同时，UCloud优刻得在首尔、胡志明、曼谷和雅加达等地域支持分线路的封堵。根据统计,90%的攻击来源都是美国、俄罗斯以及中国，因此在这些小地域进行分线路的检测和封堵，是可以把大部分的攻击直接阻断，而不影响本地的覆盖效果。目前该产品已在北美、欧洲和亚太的主要节点全部上线。

高防EIP则是引入了专门的线路进行高防的清洗，这条线路的带宽非常大。因此足够我们将所有的攻击流量和正常流量引入。同时这条线路还可以保证访问效果和普通的IP地址相比没有明显的差别。目前这个产品已经上线了台北，拥有70G的防护能力，它的延时却等同于普通的弹性IP，使用体验与普通的EIP一致。

如果想要更大的防护能力，那么UCloud优刻得亚太高防和Anycast全球清洗将是不错的选择。

亚太高防采用的思路就是用单独的高防机房进行清洗之后，通过公网进行回源。目前我们的高防机房位于香港，因此它覆盖东南亚的效果相当不错，从香港去覆盖台北、新加坡、越南、首尔、雅加达等地域最高的延时也不会超过60毫秒。此外从用户体验上，也可以像普通EIP一样直接绑定在用户的资源上，只会增加一点额外的延时。相对于普通的高防产品，亚太高防没有域名和端口的限制，也没有QPS的数量限制，因此非常适合用于大带宽的DDoS攻击相关的防御。

AnycastClean全球清洗采用了另外一种思路，就是分治法，分治就是分而治之。UCloud优刻得在全球八大入口点宣告了同样的高防地址，就是我们的 Anycast EIP ，这样所有的攻击流量和正常业务流量都会通过这八个入口点分别就近流入，而攻击流量会在这8个入口点分别进行清洗，清洗完成之后，公网正常的业务流量将会通过UCloud优刻得的全球骨干网进行回源，送到最终的源站。Anycast全球清洗可以说是集成了UCloud优刻得海外所有的防护能力，因此它的防护能力是比较强的，目前防护上限为500G，未来目标是计划升级到800G。AnycastClean不仅拥有较好的防护效果，同时它的回源采用了UCloud优刻得骨干网，因此回源是比较稳定的。此外，AnycastClean采用了时长计费的方式，据统计90%的DDoS攻击时长都在一小时以下，而AnycastClean采用在攻击的时候才会计费，不攻击的时候不计费这种方式，一个小时的售价在5000块左右。通过这种方式企业就可以更低的成本去有效抵御高带宽的DDoS攻击。

分享一个典型案例

2019 年 12 月下旬，某游戏公司突然遭到 70G 流量的 DDoS 攻击，并基于前期购买的 UCloud 优刻得高防服务抵抗住了这一波攻击。游戏公司负责人 G 先生本以为这就是一次小打小闹，黑客方应该已经知难而退。

没有料到的是，这仅仅是一次攻击的前奏曲。当天晚上，G 先生便收到了来自黑客组织的勒索消息。黑客方声称来自 A 记，A 记是一个臭名昭著的国际黑客组织，从 2018 年起便陆续被各大安全厂商曝光 DDoS 勒索的行径。

在 G 先生与黑客的沟通过程中，黑客声称第一次的 70G DDoS 攻击只是一个引子，如若 G 先生不妥协，将持续发动更大规模的攻击。

这也是 A 记黑客组织一贯的攻击套路，通常先进行小规模攻击试探，并威胁企业支付“赎金”，如果被拒便会发起更为猛烈的大流量攻击，以此胁迫企业就范。黑客与 G 先生谈崩以后，恼羞成怒，在当天下午 2 点钟左右便开始发动猛烈的攻势。攻击流量瞬时达到了近 300G 的峰值!

在游戏公司遭受第一波小规模 DDoS 攻击时，UCloud优刻得 安全中心便已介入了解该事件。在了解到勒索情况后，由于无法预估黑客具体的攻击数字，UCloud优刻得 和用户沟通后建议采用弹性防护措施布防，并先后采取高防 IP 分配、特殊转发规则配置、精细化防护策略添加等手段，实现隐藏用户源站 IP 的效果。

当黑客开始进一步大规模攻击时，所有的攻击量及攻击手段全部被转移至 UCloud优刻得 云端高防 IP 站点，该高防站点设置攻击上限为 1T，可轻松实现 300G 的攻击量抵御。最终，成功逼退 A 记黑客组织。

道高一尺，魔高一丈，为了保证用户的业务更加安全稳定的“出海航行“，UCloud优刻得还将进一步提升DDoS防御能力，同时保证DDoS高防IP具备更好的访问质量。例如UCloud优刻得即将推出的基于CN2线路的香港加速高防，拥有50G的CN2加速线路，同时在国际方向拥有400G的保护;另外计划在亚太继续建设高防，在年底覆盖亚太所有的节点，形成全球防御能力高达37T的高防节点。