DDoS 攻擊是網絡攻擊最常用的方式之一，也是企業發展道路上的阻礙。作為業務發展的巨大隱形“地雷”，企業想要自建 DDoS 防禦的技術門檻很高，且建設週期不可控。這給予了安全廠商海量的市場機會，但是在琳琅滿目的產品市場中，廠商需要如何快速佔領市場，獲得客户？知己知彼的需求理解可以打開行業賽道，非常夯實的產品性能可以讓自己在賽道上奔跑起來，而如何在彎道上超車則需要更創新的技術產品，以及順勢而為的洞悉佈局。

2018，一起 Memcached 反射放大攻擊的流量峯值達到了 1.7Tbps，當時很多安全媒體用了核彈級這個詞彙，影響程度已經令人咋舌。然而，今年，DDoS 攻擊流量峯值再創新高。

DDoS攻擊現狀

智能技術開啓了人類社會發展的嶄新一頁，生活方式迎來翻天覆地的便捷革命的同時，網絡威脅者也露出了更加猖獗的笑容，典型的趨勢之一則是：DDoS 攻擊的流量峯值從 G 時代正式跨入了 T 時代。

Neustar 公司安全運營中心(SOC)表示，在今年 2月記錄了對 Amazon Web Services 客户端的 2.3Tbps 攻擊，這是有記錄以來最大的體積 DDoS 攻擊，持續了五天零十八小時。該事件宣告着 2Tb 級攻擊時代正式來臨，巨大的破壞力再一次引起人們的注意。

儘管，Tb 級別的 DDoS 攻擊事件比較罕見，但令人擔憂的是其他流量級別的 DDoS 攻擊已經成為一種“常態”。

今年全球疫情加速了線下業務向線上轉移的速度，如大量企業開始探索遠程辦公，此外，國內也在大力推動新基建，企業的數字化轉型正在如火如荼的進行，這讓 DDoS 攻擊者擁有大量可乘之機。

根據網絡安全公司 Neustar 的報告，與去年同期相比，今年上半年分佈式拒絕服務(DDoS)攻擊的數量增加了 151%。同時，與上年同期相比，今年上半年的攻擊總數增加了 2.5 倍以上。其中，100Gbps 以上的攻擊數量增長了 275%，而小型攻擊(5Gbps及以下)的數量增長了 200% 以上。

此外，值得注意的是，Neustar 還提到，一半以上的緩解威脅利用了三個或更多的媒介，這清楚地表明攻擊正在變得越來越複雜。

安全“高壓”下的企業生存現狀

隨着業務的多元以及市場競爭的激烈發展，商業競爭、惡意報復、勒索甚至是發泄不滿，都可能成為企業遭受 DDoS 攻擊的緣由。有數據統計顯示，超過 8 成的企業在近一年內都遭受過 DDoS 攻擊，顯然，DDoS 攻擊已經成了為針對企業的普遍攻擊手段。而且，DDoS 的攻擊時段多為業務高峯期或在線人數最多時段，以達到最大的破壞效果，這對於追求盈利的企業來説，會造成巨大的品牌影響力損害以及財務損失。

針對這個常見的網絡攻擊方式，很多企業的應對方式是部署帶有抗 D 功能的 WAF 產品。但是，這種捆綁功能，實際上只能針對小流量，或者應用層的攻擊，有一定效果。DDoS 攻擊流量達到一定的峯值，只靠防護設備是很難擋住，需要選擇更專業的抗 D 產品。

藉助運營商的能力，進行緊急擴容或開啓流量清洗，針對反射放大類攻擊,或直接在運營商側進行過濾,都會提升抗 DDoS 攻擊的防禦效果。目前市場上專業的抗 D 產品一般可以分成這幾類：本地設備清洗、運營商清洗、雲清洗和一些新技術在抗 D 中的應用。相比之下，傳統安全廠商提供抗D硬件盒子, 如流量清洗設備；雲安全廠商所提供的 SaaS 模式部署的抗 D 服務，更容易被接受，且成本及人力投入也更小。

目前，流量清洗市場主要由阿里雲等行業巨頭佔據主導地位，該類廠商的產品性能較強，但價格高昂。這對於一般的中小企業或者一些個人用户來説，有相當大的價格壓力。如何兼顧到這羣客户的需求？市場上出現了高性價比，實用性能的產品，如又拍雲 DDoS 高防 IP 產品。

又拍雲高防 IP 產品體驗

又拍雲 DDoS 高防 IP 是針對容易遭受大流量 DDoS 攻擊的電商、金融、遊戲等類型的客户專門推出的增值雲防護服務。當攻擊發⽣時，所有攻擊流量將被牽引到⼜拍雲分佈各地的不同⾼防節點，分佈式處理完成後，將正常流量返回最終源站。具體應用流程為：用户可通過配置高防 IP，當其域名或源站 IP 在遭受⼤流量的 DDoS 攻擊時，通過⾼防 IP 代理源站 IP ⾯向⽤户，隱藏源站 IP ，將攻擊流量牽引到⾼防 IP 進⾏清洗後，把正常訪問的流量返回源站，確保源站的安全穩定。

FreeBuf 通過一次實際操作體驗了該產品的全流程運用，旨在分析較為真實的用户體驗。

在又拍雲官網上成功進入控制枱總覽界面，可以發現，又拍雲的產品分為基礎產品與增值服務兩個板塊：基本產品均可免費使用，而增值服務則需要進行付費購買。

其中，需要使用到 SSL 證書服務於 DDoS 高防 IP 兩項增值服務。添加完證書之後，進入 DDoS 高防 IP 管理控制枱界面。此時可進行選擇服務購買，可見的是又拍雲提供多種付費模式套餐。

完成購買服務後，列表中即會出現該集羣策略，可以在策略中配置白名單，避免誤傷友軍（此步驟需要聯繫客服進行協助）。配置完實例之後，即可切換到域名解析列表。

點擊右上角的“添加轉發規則”則可以定義高防集羣轉發規則。如果用户需要添加的域名協議為 HTTPS，則需要上傳添加證書。

添加完成之後，即可開啓對應的 WEB 基礎防護。此時高防業務正式上線開始運作。

值得一提的是，後續運營管理者可以在防護報表來對 DDoS 流量與威脅風險事件進行查看。同時，如果有多個集羣策略的話，亦可以選擇不同的集羣實例來查看流量圖譜。

事件記錄中，風險和威脅都會被實時記錄。可以直觀地查詢和了解具體情況。

高性價比的產品或實現彎道超車

通過對於產品的實操，以及結合相應的官方資料及實驗數據，可以將又拍雲的高防 IP 產品亮點分析為三個方面：

第一：總體來看，該產品擁有較高的性價比，與大安全廠商昂貴的價格相比，是適合小企業及個人的選擇。遊戲企業是該類攻擊的主要受害者，其中不乏大量的小型企業。一般這類型客户面臨的問題包括：預算有限，安全專業人士有限，企業安全配置能力有限。他們對於安全產品的性價比非常看重。

這款產品可以較好地協調上述問題：首先，⾼防 IP 提供在線 SaaS 服務接⼊⽅式，⽤户不需要購買任何硬件設施，可直接使⽤⾼防 IP 服務，⾃助配置管理。據官方給出的數據顯示，只要⽹站或應⽤具備正規運營的資質，通過簡單的 DNS 操作，在 10min 內即可接⼊防護。而且，通過測評過程可以發現，其控制枱⽀持 DDoS 流量數據透明化展示。這對於資源有限的企業來説，這樣靈活便捷部署，且可視化的數據呈現方式可以減輕更多的人力資源投入，降低管理運營門檻。

此外，在帶寬方面，該產品的上限能力無法與大廠商媲美，但是 50G 的保底帶寬可滿足一般的中小企業，且其價格相對便宜，用户也可根據⾃身業務需求選擇合適防護帶寬，節省費⽤。

值得一提的是，雲抗 D 產品輕便易用的特點也符合抗 D 產品的發展趨勢。又拍雲曾獲得 2020 數字新基建·年度最佳雲服務模式創新獎（中國雲體系產業創新戰略聯盟），這表明其發展空間比較大的同時也擁有相應的基礎實力。隨着單點防護的邏輯正在向一體化功能邁進，該產品如果集成其他安全防護的功能，對於客户，特別是中小企業來説將更便捷，且有更高的安全係數。

第二，專業防護能力較好。從一次實際的攻擊測試記錄中可以分析出其防護能力。首先，從流量清洗效率來看，該產品在 15 分鐘內可以將異常流量大幅度降低，半小時內完成流量清洗。

在可抵禦的最大流量方面，其支持異地多節點多線路防護，單點防禦可達 2T，全⽹總防禦近 10T。可抵禦的流量類型方面，其⽀持 BGP 、電信、 聯通、移動等多類線路，可以有效防禦 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等。

市場上很多抗 D 產品面臨產品能力問題，特別是針對 CC 攻擊，產品防禦效果不明顯，以及攻擊可視化、溯源等能力不足的問題。相比之下，又拍雲的產品在防護能力和產品端方面都有不錯的一面。

第三，該產品延展性較強，⽀持 TCP、UDP、HTTP、HTTPS 等協議，針對不同場景、不同類型的攻擊均可防禦，滿⾜電商、⾦融、遊戲等各種類型的業務需求。這對於涉及多領域業務的企業來説是一個有利的消息，可以避免多個產品部署的繁瑣。

推薦閲讀

服務器標配 SSH 協議，你瞭解多少？

技術選型：為什麼批處理我們卻選擇了Flink