攻击流量超过 300G，遭遇 DDoS 时我们能做些什么？

一、 DDOS 攻击原理

Distributed Denial of Service（DDoS），即分布式拒绝服务攻击，是指攻击者通过远程连接恶意程序控制大量僵尸主机（全国范围甚至全球范围的主机）向一个或多个目标发送大量攻击请求，消耗目标服务器性能或网络带宽，导致其无法响应正常的服务请求。

常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

DDoS 攻击会对您的业务造成以下危害：

• 当 DDoS 攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务，最终造成巨大经济损失。

• 由于某些行业的恶性竞争，竞争对手可能会通过 DDoS 攻击手段来打击您的业务，最终导致您的业务在竞争中失败。

二、 DDos 攻击案例解析

背景：企业 A 的 test 业务一个月内遭遇多次 DDoS 攻击，攻击流量从最初的不到 10 Gbps 到最后攻击流量高达 300 多 G 。

业务域名：test.com

域名解析的 IP：主 CLB 1.1.1.1 (公网带宽 1 Gbps)、备份 CLB 1.1.1.2

第一波 DDoS 攻击属于试探性的,采用的是 SYN Flood 攻击，攻击流量 8 Gbps。假设攻击目标 IP：1.1.1.1 ，当时业务架构图如下图所示：

由于攻击流量没有超过赠送的防护流量 10 G，所以本次攻击对 test 业务没有任何影响，同时也没有引起企业 A 的重视。

第二波 DDos 攻击的流量已经增加到 40 Gbps，由于本次攻击远远超过赠送的 10 G 防护值（也超过 CLB 的公网带宽 1 Gbps），导致主 IP：1.1.1.1 被封禁后业务 test 无法访问。

虽然主 CLB 因为 DDoS 攻击无法提供服务，但是可以通过 DNSpod 快速切换到备份 VIP：2.2.2.2 实现在 10 分钟内恢复了 90% 的用户访问（前提是准备了备份 VIP 可以切换）。

针对上述场景有两种解决方案：

• 将重要的业务 VIP 加入到高防包，那么后续攻击会通过高防包来清洗攻击流量；

• 将重要的业务 VIP 绑定到高防 IP，那么后续攻击会先经过高防 IP 清洗后回源到实际业务 VIP

最终公司 A 选择了最大防护能力为 300 G 的高防 IP，来规避类似 DDoS 攻击。

第三波 DDos 攻击的流量增加到 160 Gbps，由于购买了高防 IP 防护能力高达 300G，所以本次攻击对业务没有影响。

虽然本次攻击防护成功，但是还需要考虑极端情况，如果攻击流量超过 300G，那么还是有影响业务访问的风险。为了防护超 300G 攻击流量，建议购买三网防护 IP，理论上可以提供 1 Tbps 防护能力。

第四波 DDoS 攻击的流量超 300 Gbps，导致高防 IP：3.3.3.3 被封禁，但是兜底方案通过 cname 自动切换解析指向三网 IP（分别是电信、联通、移动的公网 IP）最终恢复业务访问。

当高防 IP 被封禁后会立即通过 cname 切换解析到三网 IP，整个解析切换过程是秒级的，也就是虽然高防 IP 被封禁但是恢复时间可以做到秒级。

通过该案例可以看出，攻击从一开始的试探性，到逐步加大攻击流量，业务影响时长从分钟级到秒级。但只要防护到位还是可以减少业务受损时长，甚至可以完全规避业务受损。

但是安全防护能力是需要付出成本的，也有很多企业因为成本原因选择更适合自身的防护方案。

三、 DDoS 防护方案对比

1. DDoS 基础防护方案（免费）

防护对象：适用于腾讯云产品（如 EIP、CLB 等）。

防护能力：普通用户可享受 2 Gbps 防护，VIP 用户 可享受 10 Gbps 防护。

配置方法：无需配置，自动为云内产品 IP 开启防护。

2. DDoS 高防包方案

防护对象：适用于腾讯云产品，包括 CVM、CLB、WAF、黑石物理服务器、黑石负载均衡、NAT IP、EIP、GAAP IP 等，同时也适用于有大量云产品 IP 需要防护的用户。

防护能力：在用户购买的防护次数范围内（建议不限次数，避免次数限制导致影响业务），腾讯云提供不低于 30 Gbps 的 DDoS 防护能力， 最高防护能力根据各个区域的实际网络情况动态调整。

3. DDoS 高防 IP 方案

防护对象：支持 TCP，UDP，HTTP 和 HTTPS 业务（默认支持 websocket）。

防护能力：BGP 线路最高提供 300 Gbps 的防护能力，三网线路最高可提供 1 Tbps 的防护能力。

从三种方案对比可以发现：防护能力最高的就是高防 IP，但具体采用高防包方案还是高防 IP 方案要根据历史攻击数据以及预算来决定。

如果您的防护对象既有腾讯云内的公网 IP 也有 IDC 的公网 IP，同时要求防护能力比较够可以优先选择高防 IP。如果对防护能力低于 100 G，同时希望保留原有业务 IP 可以优先考虑高防包。

四、 其他注意事项

第一，使用 DDoS 高防包的用户每天将拥有三次自助解封机会，在您需要紧急恢复业务情况下，通过控制台防护概览界面进行自助解封。（系统将在每天零点时重置自助解封次数，当天未使用的解封次数不会累计到次日。）

第二，DDoS 高防包仅对腾讯云内的公网 IP 提供 DDoS 防护支持。如需云外的公网 IP 防护，请您购买 DDoS 高防 IP，支持网站域名和业务端口的接入防护。

第三，DDoS 高防支持对访问 DDoS 高防的源流量按照协议类型一键封禁。您可配置 ICMP 协议封禁、TCP 协议封禁、UDP 协议封禁和其他协议封禁，配置后相关访问请求会被直接截断。由于 UDP 协议的无连接性（不像 TCP 具有三次握手过程）具有天然的不安全性缺陷，若您没有 UDP 业务，建议封禁 UDP 协议。

最后，建议购买高防包选择防护次数时，选择无限次数，避免因为次数限制导致业务受损。

参考资料：

[1] 腾讯云防护介绍：

https://cloud.tencent.com/document/product/1021/44463

[2] DDoS 高防包方案配置方法：

https://cloud.tencent.com/document/product/1021/43898

[3] DDoS 高防 IP 方案配置方法：

https://cloud.tencent.com/document/product/1014/44088

本文转载自公众号云加社区（ID：QcloudCommunity）。

原文链接：

攻击流量超过300G，遭遇DDoS时我们能做些什么？