大规模的DDoS攻击事件在全球范围内发生了很多次，再次造成了轰动，如何防护DDoS由此也引起了大众的重点关注。虽然很多互联网企业都建立了一定的本地DDoS防御措施及运营商级的DDoS监测清洗服务，但是物联网飞速发展，而且进行攻击的成本越来越低，衍生的新型攻击手段层出不穷，DDoS攻击逐渐形成了产业链，许多互联网企业都为此头痛不已。

那么想要采取防护防护DDoS措施，势必要先了解DDoS的原理，结合借鉴自身和他人网络安全运维经验理清DDoS攻击防护思路，制定适合的防护方案。

DDoS分布式拒绝服务，主要利用 Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。

防护DDoS从原理来说就是需要从所有流量中区分出正常流量和恶意攻击流量，然后过滤点攻击流量，避免其占用服务器资源为正常流量服务。按这个道理来说，只要成功过滤恶意流量，就能是DDoS攻击失去作用，保证业务正常进行，不会产生意外损失。下面就流量清洗方式做一个简单介绍。

1、本地防护设备

本地设备一般分为DDoS检测设备、管理中心和清洗设备。首先，DDoS检测设备日常通过流量基线自学习方式，按各种和防御有关的维度进行统计，形成流量模型基线，从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计，并将每一秒钟的统计结果和防御阈值进行比较，超过则认为有异常，通告管理中心。由管理中心下发引流策略到清洗设备，启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后，为防止流量再次引流至DDoS清洗设备，可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

2、运营商清洗服务

一般黑客发起DDoS攻击时，最先感知到的一般为本地数据中心内的DDoS防护设备，但本地防护设备只能防御一定规模的流量攻击，一旦攻击流量超出本地DDoS清洗设备性能可以应对的DDoS流量攻击规模时，需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗，运营商通过各级DDoS防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDoS攻击行为。

3、云清洗服务

最差的情况就是在运营商的流量清洗效果不理想的时候，可以尝试使用云清洗服务。云清洗服务是分布式部署的基于运营商骨干网的异常流量清洗中心，可以在靠近攻击源的的地方讲流量清洗，提升防护DDoS的能力。

DDoS攻击危害严重，需积极应对，必需采取有效防护DDoS措施。对比三种方式的不同和适用场景，发现他们都存在一些缺点，比如本地DDoS防护设备和运营商清洗服务都对HTTPS流量的防护能力有限，且对CC等应用层的DDoS攻击类型检测效果不太行。大多数真正的DDoS攻击都是“混合”攻击，所以单一解决方案不能完成所有DDoS攻击清洗，最好的方式是要根据实际情况采取多重防护。