騰訊云安全DDoS高防如何使用以及如何優(yōu)雅應對DDoS攻擊？

DDoS攻擊雖不像熊貓燒香和勒索病毒一樣令人破壞力強，破壞規(guī)模大，但是對于電商和游戲行業(yè)，一旦遇到DDoS攻擊，損失也是非常慘重的。DDoS攻擊成本低，破壞力小，但會在關鍵的業(yè)務點導致受攻擊者無法正常開展業(yè)務而造成經(jīng)濟損失。面對DDoS攻擊，騰訊云安全聯(lián)合實驗室早就有了解決方案，DDoS高防包結(jié)合DDoS高防IP聯(lián)合抵御DDoS攻擊。

說起DDoS高防的使用，最常見的概念就是清洗和封堵，搞清楚這些概念才能更好的使用DDoS高防包。首先來看一下什么是清洗？當目標IP的公網(wǎng)網(wǎng)絡流量超過設定的防護閾值時，騰訊云DDoS防護系統(tǒng)將自動對該IP的公網(wǎng)入向流量進行清洗。

通過BGP路由協(xié)議將流量從原始網(wǎng)絡路徑中以重定向的方式導流到大禹系統(tǒng)的DDoS清洗設備上，通過清洗設備對該IP的流量進行識別，丟棄攻擊流量，將正常流量轉(zhuǎn)發(fā)至目標IP。對于用戶來說，通常的情況下清洗不會影響正常訪問，僅在特殊場景或清洗策略配置有誤時，可能會對正常訪問造成影響。

那么封堵又是什么？和清洗的條件相同，當目標IP受到的攻擊流量超過其封堵閾值時，騰訊云高防通過運營商的服務屏蔽該IP的所有外網(wǎng)訪問，保護云平臺其他用戶免受影響。簡單說就是當用戶的某個IP受到的攻擊流量超過免費防護閾值或者用戶采購的高防套餐最大防護峰值時，騰訊云將屏蔽該IP的所有外網(wǎng)訪問。

可以看出封堵的效率不如清洗，那么為什么還要進行封堵？這就是使用騰訊云高防的優(yōu)勢之一，騰訊云通過共享基礎設施的方式來降低用戶的用云成本，所有用戶共享騰訊云的外網(wǎng)出口。當發(fā)生攻擊時，騰訊云會為用戶免費提供一定閾值的防護。當超過免費防護閾值發(fā)生大流量攻擊時，除了會影響被攻擊對象，整個騰訊云的網(wǎng)絡都可能會受到影響。為了避免攻擊影響到其他未被攻擊的用戶，保障整個云平臺網(wǎng)絡的穩(wěn)定，就會需要用到封堵。

最后介紹一下騰訊云安全的用戶在前期都會有的疑問，那就是DDoS高防包和DDoS高防IP的區(qū)別是什么？首先防護對象不同，DDoS高防包只針對騰訊云內(nèi)的服務提升DDoS防護能力；DDoS高防IP面向云外用戶，為非騰訊云的業(yè)務IP/域名提供防護。接入不同，DDoS高防包的接入配置更加便捷，無需變更公網(wǎng)IP地址。DDoS高防IP需修改DNS解析或修改業(yè)務IP后才能接入防護。

網(wǎng)絡安全加固工作需要做在平時，面對DDoS攻擊，亡羊補牢為時已晚，在業(yè)務搭建完成之初做好網(wǎng)絡安全未雨綢繆，可以將很多常見的網(wǎng)絡攻擊扼殺在萌芽之中。企業(yè)選用網(wǎng)絡攻擊可以按照等保的要求逐個配置。