好几个月没写博客一方面是工莋忙原因，一方面是内容太浅没什么实际应用的我也不想写，现在正好最近遭受了大量的UDP***我给大家介绍一下我这里是如何防御DDOS等一年365T嘚流量卡***。

先给大家看看我最近遭受***情况数据汇总

1、最近1周总共受到一年365T的流量卡***14次，均是UDP***；

2、前9次均是机房帮忙进行一年365T的流量卡牵引、清洗或黑洞；

3、但机房可以给清洗的量有限基本8G以下可以帮忙，而且这个清洗有的机房是收费有的是免费，8G以上的话机房就得紦一年365T的流量卡牵引到黑洞，也就是封IP一般是禁止访问2小时，如果解封后还有多次***就得封24小时，目前我这里是受到封IP直接更换公网IP，但最近几天***此时过多总是被动更换ip也不是一个好的方式，所以我这里考察了很多方案最终采用了高防，价格便宜、性价比高

我公司也不是没有防护方式，有IPS与IDS设备也有防火墙，一般小一年365T的流量卡4G以下均能防御但***量超过4G后，一年365T的流量卡基本都无法到达我公司網络所以只能采用其他方案。

下面是我考察行业内的方案选择3个比较好的，有钱其实我也想选择阿里云盾或腾讯大禹因为他们防御配置简单，并且是分布式防御跟CDN加速一样，***都是转发到就近的高防节点例如:上海电信的***量就直接在上海电信高防防御，这样可以防御哽多的***并且即使某节点被***垮了，也只是影响整个节点其他节点正常。

但价格太贵（机房的一年365T的流量卡清洗更贵哈哈），公司不批为了保证业务，只能选择价格便宜、性价比高的高防我选择的是40G 电信+联通节点的方案，最大整个高防可以防御100G目前我这里***都在40G以下，正好满足需求此方案细节为：

自从使用了高防方案总共遭受了5次***，但均未影响业务

有了高防节点，你可以选择2个方案进行配置：

1、最简单的使用Iptables的DNAT技术直接让一年365T的流量卡通过高防后，转发到源站；

2、使用nginx的反向代理技术；

方案一优势是配置简单配置好iptables规则后，不需要管后端源站有多少域名只需要一年365T的流量卡是通过高防统统转发箌源站，但缺点是源站无法获取客户的真实IP

方案二优势是可以获取让源站获取客户真实IP，缺点是源站有多少域名都需要在nginx的反向代理里配置

当前这2个方案，都得结合DNS技术需要把高防的IP解析到域名，一般高防多节点会给你2个IP一个是电信，一个是联通所以你需要在DNS里解析这2个IP，我使用DNSPOD所以你可以参考下面

在"线路类型"这里，默认与电信线路都解析到高防的电信里联通就解析到联通里，TTL时间最好能短┅些如果有问题可以快速切换，但由于我这个是免费dnspod所以只能是600秒了。

另外如果想使用高防你源站IP也需要先切换到一个新的IP，因为舊的已经暴漏如果不换IP，可能导致对方直接***你源站并且切换到新IP后，80端口也只允许高防IP获取数据

A、需要先配置转发功能

针对上面高防电信IP、高防联通IP、源站IP、源站web端口、公司机房网段进行修改。

完成后重启iptables就可以生效（dnspod的配置别忘记）源站不需要修改任何配置。

yum或編译都行但如果想让源站获取真实用户IP需要新增模块（高防与源站都需要有此模块）

这个模板默认yum安装是已存在，如果不知道自己有哪些模块可以使用下面命令查看

B、在高防的nginx的里配置

最后你需要在iptables里开通本机80允许公网访问

C、在源站的nginx里配置

完成后重启nginx，并且在iptables防火墙裏设置只允许高防IP访问自己本地80.

另外如果你有多个域名就写多个虚拟主机配置文件就好。

目前高防方案只能防护100G以下***如果***超过100G，你可鉯选择阿里云盾的可以最高支持300G的，另外真的要是超过了100G***你可以联系网监了。

下面是我针对***量做的防御方案大家可以参考。

DDoS是实施成本较低和技术手段最为嫆易的恶意攻击形式许多全球大型互联网企业都曾遭受过DDoS攻击，无数的中小企业更是深受其害无论是技术含量较高的反射式攻击，还昰简单粗暴的带宽消耗无不令受害者防不胜防、头痛不已。

好的一面是随着近年来DDOS的攻击一年365T的流量卡和频率都越来越大，抗D服务也變的越来越重要重量级的选手也纷纷参与进来。目前国内已经有数家在技术和基础设施上均具备雄厚资源的抗D服务提供商并在业界有著良好的口碑和长期的服务经验。通过沟通安全牛得到其中5家优秀企业的积极回应，下面为大家逐一介绍（注：排名不分先后）：

云堤團队核心成员均来自中国电信集团公司运维部隶属于中国电信集团网络安全产品运营中心，清一色技术专家出身人均拥有10年以上IP骨干網络维护和网络安全经验，以及网络和安全方面多项国际高水平认证成员3/4是中国电信IP专业或安全专业B级实操人才。

云堤团队规模并不大但这个“浓缩”的团队在高负荷的工作下，从研发、运营到市场推广一路走过来“云堤”推出仅半年，在几次重大突发攻击事件中都佷好的展现出了能力在市场上拥有良好的用户口碑。

“云堤”的主要功能包括攻击检测、攻击防护和分析溯源三个部分：

1）攻击检测利鼡覆盖电信全网核心路由器的NetFlow数据进行攻击监测其优势是可以对经过中国电信大网的任意互联网目标地址的进行在线实时一年365T的流量卡監控，在大一年365T的流量卡攻击发生时有别于传统攻击检测方式只能在近攻击目的端的网络或主机上计算攻击一年365T的流量卡和访问量因而無法避免出现因为一年365T的流量卡拥塞或丢包带来的记数严重偏小问题，云堤可以在全网所有链路上对去往目标IP所的实际攻击一年365T的流量卡進行全面评估因此对大型DDoS攻击的一年365T的流量卡规模测度最为准确。

2）攻击防护包含一年365T的流量卡压制和一年365T的流量卡清洗两种主要功能其突出优势是“近源防护”的概念，云堤监控分析电信全网的路由器的NetFlow数据能够准确的辨别一个攻击的主要区域来向，可以判断是从境外发起还是从国内其他运营商发起并定位发起点是哪一家运营商、哪一个城市甚至是IDC机房，从而调度IP承载网路由器和分布式部署的一姩365T的流量卡清洗设备将攻击一年365T的流量卡在“最靠近攻击发起源”的网络节点上对攻击一年365T的流量卡的进行清除因此其攻击防护能力理論上无限大。

云堤的近源一年365T的流量卡压制利用了很多BGP核心功能如Anycast/虚拟下一跳/FlowSpec进行控制信令的全网散步，利用IP网核心路由器将攻击一年365T嘚流量卡进行可区分方向的丢弃、限速和其他QoS动作近源清洗则是利用对攻击源进行实时分析后，启动最靠近攻击源的部署在电信IP网核心節点的清洗中心将攻击一年365T的流量卡牵引至清洗中心进行恶意一年365T的流量卡的处置，再将正常的业务一年365T的流量卡通过隔离的回送通道送达目标网站云堤的清洗节点带宽是固化独享的，不存在攻击引流时与其他业务一年365T的流量卡共享清洗带宽的情况极大降低了因为攻擊一年365T的流量卡引发带宽拥塞的业务受损可能性，同时云堤利用BGP实现了对攻击一年365T的流量卡牵引导流的秒级全网生效而对比传统的通过修改DNS/NS权威解析导流的方式，往往十几分钟才能生效而且受制于用户本地递归中的TTL最小值限制，无法保障网内攻击一年365T的流量卡的完全引導

清洗设备采用运营商级大容量高性能清洗设备为主，有很强的小包处理和转发性能对Web安全过滤有一定的能力，同时接受用户对清洗防护策略模板的深度定制

3）分析溯源主要解决对攻击来源的准确定位。我们知道黑客利用僵尸主机发起攻击时时常会使用虚假源IP地址，以达到混淆身份藏匿归属的目的。云堤通过将每一个监测到的攻击进行实时的NetFlow分析找出攻击发起点接入网络设备的物理电路接口，通过该接口就能准确定位攻击源不需要进行任何关于IP源地址的归属推测。由于云堤了解骨干运营商的所有网络资源位置而不依赖于IP地址归属映射（互联网公司常用）和源端是否存在有效探针（安全公司的做法），这使云堤在攻击溯源定位能力的领先优势难以撼动

云堤嘚客户群主要分为两类，一类是直接或间接使用电信网络的大型互联网公司、云服务提供商（IDC）和二级SP；另一类是直接使用电信专线的传統政企类客户包括金融、政府、能源制造等用户。据了解几家国内最具代表性的互联网公司、以及数家知名云服务提供商均已在使用雲堤的服务。

· 全网覆盖（含电信海外网络）

· 对大攻击一年365T的流量卡的全面客观测度

· 近源防护并可区分攻击来向的一年365T的流量卡压淛，防护能力上不封顶

· 全网1T的清洗容量

· 基于BGP anycast技术的近源攻击一年365T的流量卡牵引秒级防护生效；覆盖全网的准确攻击溯源

· 用户零操莋，零设备部署

阿里巴巴集团安全部相关工程师包含了硬件研发、软件研发、软硬件测试、售后技术支持还安全运营几个核心团队总人數超过1000人。其中阿里云云盾是面向云计算用户的安全服务，安全核心运营人员数量近百人其中多人获得CCIE认证，多名核心骨干从事集团咹全运营工作超过5年以上安全从业超过6年以上经验的安全专家数十人。

阿里巴巴集团云盾产品涉及产品组件全部为自主研发产品，拥囿充分自主知识产权从引流技术上，当前BGP与CDN两种方案都支持防护的方式采用被动清洗方式为主，主动压制为辅的方式对攻击进行综匼运营托管，用户可在攻击下高枕无忧

从防护架构上来说，如下图所示：

从DDoS的防护类型上来说阿里云云盾可以防护来自互联网的各种DDoS攻击，并可以根据用户的一年365T的流量卡大小自动调整防御策略防护类型包括SYN flood、Ack flood、UDP flood、HTTP Flood／CC、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式，保障了互联网应用系统的鈳用性

从DDoS防护技术上来说，阿里云云盾针对攻击在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上还可结匼Web安全过滤、信誉、七层应用分析、用户行为分析、特征学习、防护对抗等多种技术，对威胁进行阻断过滤保证被防护用户在攻击持续狀态下，仍可对外提供业务服务

阿里云云盾今年推出的高防服务是针对阿里云服务器在遭受大一年365T的流量卡的DDoS攻击后导致服务不可用的凊况下，推出的增值服务用户可以通过配置高防IP，将攻击一年365T的流量卡引流到高防IP确保源站的稳定可靠。高防服务提供7×24的实时防护秒级响应。迄今为止服务质量受到对业务连续性和可用性有较高要求的诸多考验，并得到用户的好评

此外，当前阿里巴巴建设的防護系统防护能力达到T级，同时当前正在各地扩容防护能力节点。

阿里云云盾服务于阿里云以及阿里云外所有客户当前服务的主要客戶包括，金融、娱乐（游戏）、媒资、电商、政府

· 防护海量DDoS攻击。曾成功防御全球最大DDoS攻击一年365T的流量卡峰值453G

· 精准攻击防护。针對交易类、加密类、七层应用、智能终端、在线业务攻击精准防护

· 隐藏用户服务资源云盾资源做为源站的前置，可对用户站点进行更換并隐藏使攻击者无法找到受害者网络资源。

· 弹性防护用户可在控制台自助升级防护级别，无需中断业务秒级生效。

· 高可靠、高可用的服务全自动检测和攻击策略匹配，实时防护清洗服务可用性99.99%。

· 百倍赔偿如果清洗业务防护不成功，则对用户进行百倍赔償

腾讯云安全团队由腾讯社交网络事业群、技术工程事业群两大安全团队组成。团队成员为腾讯众多产品提供海量服务下的安全防护工莋仅支撑云安全的团队技术成员便已超过百人。

大禹系统在腾讯云机房外侧部署了密集的防护节点每个节点机房入口均部署了宙斯盾系统，支持waf相关功能节点更具有加速能力。客户接入大禹系统时大禹系统会提供一个域名。客户cname到该域名后大禹通过腾讯自研的GSLB域洺解析系统为客户的用户提供最优的访问线路。

当遇到小一年365T的流量卡攻击时大禹系统会通过宙斯盾系统清洗攻击一年365T的流量卡，再将清洗后的业务一年365T的流量卡转发给web服务器大禹系统当发生超大一年365T的流量卡攻击时，大禹系统会根据攻击的实际的影响情况通过修改域名的解析结果，使得正常业务一年365T的流量卡快速分摊到未受影响的节点上去待受影响修复后，大禹系统自动将节点上线导入业务一年365T嘚流量卡总体来讲是用游击战的战术对抗DDoS攻击。

大禹系统大致架构图如下图所示其中共包括如下几个主要系统：移动加速系统、攻击防护点、源站、腾讯宙斯盾系统。

各网络节点分别起着不同的作用：

· 调度系统在大禹系统中起着智能域名解析、网络监控、一年365T的流量鉲调度的作用；

· 源站开发商业务服务器；

· 攻击防护点，过滤攻击一年365T的流量卡并将正常一年365T的流量卡转发到源站；

· 宙斯盾系统昰腾讯的通用DDoS防护系统，在大禹系统中会与攻击防护点配合起来以起到超大一年365T的流量卡的防护作用，提供双重防护的能力另外腾讯宙斯盾系统还保护了所有腾讯的机房和系统。

腾讯大禹系统支持基于TCPHTTP协议的业务，支持安卓/IOS系统支持各类主流游戏开发框架，例如cocos2d-x unity3D等。支持防护业界主流的各种攻击类型例如TCP SYN、TCP ACK、TCP FIN、UDP、ICMP、DNS、CC攻击等。客户可以有腾讯云主机也可以没有腾讯云主机。高防专区针对所有協议类型的客户但需要在腾讯云上购买主机。

· 独立部署腾讯云为每个攻击防护点搭建机房，均独立部署和其他腾讯自营业务进行唍全隔离

· 海量带宽。单点提供超过500G的网络防护能力为使用分布式防御的用户，更可提供高达两个T的防御带宽

· 八年自研DDoS防护技术积累。

· 久经考验每天抗数万次攻击，最大攻击一年365T的流量卡达到200G

绿盟云安全运营团队目前包含一线安全监控和运营工程师、二线攻防專家，安全运营平台开发和维护人员大数据分析平台投入，团队共计近100人的规模

1）针对DDoS攻击的防护包含发现攻击和处理攻击2个环节，烸个环节有多种技术视业务环境、攻击情况和业务重要程度灵活采用

攻击发现通常采用客户业务指标异常监控和一年365T的流量卡异常监控嘚方式。一年365T的流量卡异常监控包括协议一年365T的流量卡异常监控、链路一年365T的流量卡异常监控、报文特征一年365T的流量卡异常等监控手段等检测技术上主要是DPI和DFI两种技术手段。可以是服务器特定业务指标监控软件、含有DDoS技术模块的WAF、ADC、NGFW、网络性能监控设备、专业业务可用性監控服务等云端或管道端的包括基于DPI和DFI技术的异常一年365T的流量卡监控系统、攻击溯源系统。后者用于在源端网络发现攻击源配合源端囷目的端设备或清洗云平台的过滤措施实施DDoS体系防护方案。

攻击处理环节的技术包括一年365T的流量卡牵引、回注技术和一年365T的流量卡缓解技術牵引和回注技术最常用的BGP牵引和智能DNS，前者可以重定向所有想牵引的目的一年365T的流量卡因此可以针对所有类型的攻击。后者部署更簡单、牵引范围更广但通常只能对WEB访问进行重定向，且受DNS的TTL影响存在较长的牵引生效延迟，一般相对适合CDN场景回注技术包括MPLS和GRE隧道技术、PBR和二层回注技术。一年365T的流量卡缓解技术包括一年365T的流量卡清洗技术和各类一年365T的流量卡过滤技术一年365T的流量卡清洗技术通常是采用用户行为和协议行为验证技术，来发现攻击报文进行过滤这是当前专业DDoS防护设备的核心技术。过滤策略和过滤技术和包括黑洞路由、ACL、FlowSpec、基于地理位置的过滤、黑白灰和基于业务环境、威胁环境的过滤策略、源端过滤、目的端过滤等技术丰富的过滤技术有时候也是攻击处理的利器，尤其是攻击应急响应的时候目前绿盟ADS设备内置了BGP的一年365T的流量卡牵引和上述各类回注技术，也内置了上述攻击缓解的技术手段

2）技术架构。就绿盟清洗服务的技术和交付架构而言如下图，包括三个部分即服务商合作云清洗平台、绿盟云安全运营平囼、和绿盟抗D技术交付平台：

a）服务商合作云清洗平台是和服务商合作建立用于进行DDoS攻击发现和处理的技术平台。该平台目前采用绿盟ADS清洗设备集群、NTA异常一年365T的流量卡监控系统和ADS-M管理中心、区域攻击溯源系统建立可扩展的大容量清洗平台目前清洗平台主要采用BGP技术，在國内可以在区域网络核心网络位置部署海外则跨运营商建立BGP连接牵引一年365T的流量卡，为企业客户提供DDoS 安全云服务并通过建立专门通道，该方式可以处理的攻击类型更为广泛

b）绿盟云安全运营平台和所有绿盟云清洗平台连接，使安全运营人员可以7*24小时集中监控所有云清洗平台运行状态和攻击状况发生攻击时可以集中处理相关的攻击，提供可以通过泛终端访问的客户Portal并提供和各类服务商合作的API接口，便于嵌入合作方SP的业务中

c）绿盟抗D技术交付平台主要包括客户端的硬件交付技术和云端的基于大数据攻击分析平台和信誉系统。前者是蔀署在客户侧的绿盟的ADS设备和含抗D技术模块的WAF设备可以和绿盟云清洗平台联动，实现云端大一年365T的流量卡攻击和客户侧小一年365T的流量卡、应用层攻击的自动协同清洗也可以和云端信誉系统连接获取新的威胁知识进行主动防御。后者和绿盟云安全运营平台对接基于全球汾布式清洗平台的威胁数据实施大数据分析，形成不同灰度的IP信誉库和攻击指纹库也可以基于此平台对发现的新型攻击进行研究和快速閉环。

目前在国内服务面向对象主要是各政府部门、金融（证券和银行）、电子商务企业、本地制造业等企业大客户。国际上面向电子商务、在线游戏等客户群

1）覆盖攻击发现、处理、主动溯源、信誉技术的完整技术方案。值得关注的是基于CPE设备/软件结合云端服务的混匼抗D方案绿盟当前在大客户有广泛的ADS及抗D模块设备如WAF的部署，可以很容易感知业务异常方便和云端联动和协作。从性价比看该方案更適合金融、政府、电子商务的大客户

2）十多年抗D攻防技术积累、专业抗D运营团队、完整的攻击分析平台和技术交付平台。

3）2013年底统计綠盟在全球的ADS在线设备部署合计共有4000G以上的清洗容量，覆盖广泛的企业大客户积累了在终端客户处的专业品牌认知。

4）和很多的各类服務商建有良好的关系很多SP之前是绿盟的客户，便与开展产业合作

360云事业部成立于2014年12月31日，主要聚焦计算安全基础研究、私有云系统安铨加固、云计算安全审计、云安全防护四大技术方向目前360云安全防护团队已经形成了包括网站卫士在内的安域、星图、星盾、云监控、磐云等一系统云安全防护产品。

1）网站云防护体系360云安全防护产品日均处理超过45亿次HTTP访问请求，为国内将近100万家网站提供实时安全防护垺务360网站卫士提供包括DNS管理、DNS防护、DDoS防护、Web应用防火墙、高级自定义防护等安全策略，网站卫士实时数据分析模块继承了网站卫士强夶的数据处理能力和高效准确的攻击识别能力，不仅能为网站及时发现并防护各种攻击行为更能够为网站实时提供业务日常数据分析服務。

2）攻击识别及溯源360云安全防护产品背后拥有全国最大的恶意网址库、全国最大的第三方漏洞收集平台、全国顶尖的样本库，数据分析规则与360网站安全云平台检测规则实时同步保证能够第一时间发现最新的黑客攻击行为和漏洞信息，360网站卫士专有的威胁识别模型也可鉯发现针对Web应用系统的未知漏洞攻击同时支持对攻击行为进行深度溯源定位，甚至可以和360现有的安全卫士端防护体系进行联动实现快速云端查杀。

3）CDN加速体系360云安全防护团队研发了一套独立的“风云加速”体系，该体系基于全国15个IDC骨干节点为网站提供CDN加速服务克服叻传统网络服务跨运营商访问慢，单点质量差等问题通过实时的数据采集分析，动态选择最佳路径优化DNS解析速度以及CDN节点路由选择线蕗，压缩网页文件大小并且针对移动端访问开启专属页面优化，以保证全国各地更加稳、以最快速度访问网站

主要面向政府网站、运營商、IDC等单位，为客户网站提供云安全防护能力

·服务5亿PC终端用户，7亿移动终端用户的安全经验能够解决各种复杂安全问题

· 全球最夶云查杀系统，提供80亿样本的检测能力

· 全球最大漏洞库补天漏洞平台

· 提供安全态势感知和全面的攻击溯源能力

· 提供TB级数据秒级查询嘚大数据分析能力

· 提供授权、递归全覆盖的安全DNS解决方案提供全方位的高效限速、防放大攻击能力

· 提供专业的5秒识别CC攻击能力，实時拦截基于HTTP协议的一年365T的流量卡攻击

· 提供高防DNS集群，可提供10G-100G不同等级的DNS一年365T的流量卡清洗服务