在果壳网任职期间经历过多次DDoS攻击。那种绝望的心情，还历历在目。问题不是你能做什么，而是机房决定了其实你什么都做不了。

攻击者是控制一个足够大的分布式集群来发起攻击，各种杂七杂八的包，什么都会有。根本不在乎你开的什么服务，也没那耐心分析你有什么服务。比如哪怕你根本没开UDP的任何服务，但他就是发一大堆UDP的包，把你带宽占满。还有啥办法。

十多年前的OS还没法应付大量TCP并发连接，于是那个年代有个SYN flood攻击，就是一大堆SYN包尝试握手。现代也有，效果大不如前，但是仍然在大流量下可以阻塞受害者的通信能力。

更现实的问题在于，机房的总带宽有限。当你的服务器IP段受到攻击时，他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击，但攻击包根本就没到机房，更别说服务器，于是只能是守着服务器，毫无流量，等待。

上级接入商大多是垄断国企，根本没耐心跟你做任何深层次合作，直接丢包是最简单方便的方法。同时，即便此时攻击者停止了攻击，你也不知道。而想要上级接入商重新开启给你的包转发，动则就是个一天的流程。而一旦发现攻击还没完，就立刻又是丢包。

那几年被攻击时，也火烧火燎的找办法。尝试将网站部署到云计算平台上，依靠对方提供的带宽冗余来顶。甚至可能只是拼短期带宽的费用。当时国内的云计算提供商试了好几家，最终都因为没有足够的带宽应对攻击而拒绝了我们。他们都是出于对果壳网的喜爱和免费帮忙的，能做到这一步也挺不容易了。

有人提到攻击弱点，我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点，比如很多网站的首页会做静态化，所以攻击首页就不划算。图片同理，对CPU消耗太小了。

几个常见的弱点：

1、登录认证
2、评论
3、用户动态
4、ajax api

总之涉嫌写数据库，联表查询，缓存涧出的都是好目标。

所以，回答就是：没有啥好办法，耐心等待吧。

看了其他几个回答提供的方案，分别分析一下：

1、拼带宽：或者说拼软妹币，这不是一点点钱能搞定的，果壳网彼时只买了不足100M带宽，所在早期机房总带宽也不足40G，攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深)，带宽价格为100元/M*月，每月按峰值计费。则要买10G带宽顶一下，需要的月费是100万，100万……

2、流量清洗&封IP：如前述，要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房，无解

3、CDN服务：现代CDN提供商还没有完善的动态网页加速技术，所以结果就是，你充其量利用CDN保住静态化的主页可以访问，其他任何动态网站功能就只能呵呵了。

1) 一看到业余的就忍不住了
2）不要再被国内的2流厂商忽悠了，渣渣们。
3）DDOS不是百度百科上面说的那几种，基于协议和流量的那些DDOS攻击早就不是问题，应对方案也很成熟。

4）DDOS攻击2大关键：
一，分布式；二，针对服务。

第一个，无解，道高一尺魔高一丈。

第二个，服务！服务！服务！念三次，知道DDOS的目标是什么吗？是所有服务吗？
不是，是你的system内的设计不好的服务，是要合理将服务单元划分，服务和服务之间设计时就要将耦合度降到最低，牵一发而动全身的system，怎么去做defence。

对于任何DDOS攻击你需要的不是防御方案，不是某一个设备，是一个Team，能够快速reaction，能够做system analysis，深度理解你们产品architecture。

出了问题，能第一时间对脆弱服务提出解决方案。
出了问题，能第一时间攻击源有定位。

一个企业/政府单位/事业机构被DDOS，是技术问题？图样图森破。
果断报警吧，小伙子。
--------------------------------------------------------------------------
总结一次：

1）DDOS发生前可能永远都无法预知，因此，应急方案一定要有。
2）DDOS发生后可能短时间无法完全防御，因此要有保证最小服务的生存的意思。
3）DDOS攻击源可能很难定位，甚至无计可施，但是最接近你的一级的入口流量，你完全可以控制。
首先求自己，然后求别人。
4）商场似战场，但是不是战场，在灾难最重要的是对你用户负起责任。

最近刚码了一篇有关DDoS的文章，在此分享给大家，欢迎拍砖讨论，全文如下：

标题：DDoS,十年漫谈

一、关乎资源的战争

何为DDoS？

DDoS全称Distributed Denial of Service，即分布式拒绝服务攻击。

通俗点讲就是利用多于对方的火力来火并，最终把对手打趴下。这个火力就是资源，或带宽或计算资源，横行网络多年的黑客其实最不缺的就是资源，更不用说专职DDoS攻击的黑产了。

服务器、PC、Pad、手机、智能电视、路由器、打印机、摄像头。想象一下，在网络世界夜幕低垂时，这些数字节点如同四面八方的萤火虫般为某次DDoS攻击默默地贡献自己的资源，前赴后继，直至目标业务无法正常运行。

其实在吃货的世界里也时常见到DDoS经典场景。

街角一家馄饨店开门营业，结果进来一票无赖把餐桌全占且不点单，客人也不敢进去，从而导致生意全无，这属于恶意的DDoS攻击。

楼下张大妈每天早上只卖100碗面条，然后突然一辆旅游大巴停靠下来，车上旅客把面条买光了，导致张大妈的常客早上都没面条吃，这也是DDoS攻击。

DDoS江湖地位如何？

在黑客世界的兵器谱上，不同于水坑攻击或鱼叉攻击，DDoS明显属于摧城拔寨的明星武器，也正是因为DDoS攻击易攻难守，野蛮肆虐，因此也有着很高的江湖地位和出镜率，放到武侠世界里，DDoS至少是东邪西毒级别的高手。

江湖地位高，在电视里也有所体现，看看在2015年金球奖夺魁的美剧《MR. Robot》和韩剧《幽灵》等黑客题材电视剧，DDoS攻击都在重要剧情中出现，也算是网络攻击的代言词之一。好多人会觉得电视是骗人的，现实里网络攻击哪有这么夸张，笔者只能说你们图样图森破，现实更残酷，熟悉的场景，熟悉的方式，每天都在发生，不同的只有攻击者和目标。

出镜率高是因为易攻难守，十多年过去，TCP协议并未改变，因此利用TCP协议弱点的DDoS方法也没有过时。2002年的攻击工具现在还能凑效，而应对DDoS的方法也只能迭代更新，对付DDoS并没有一劳永逸的银弹。很多企业的安全防护体系都是在被虐中成长，从攻击中学习，十余年的攻防积累才形成现在的保障能力。

为什么DDoS频发？

从技术层面分析与资源有着紧密联系，它们简单粗暴地吞噬带宽和计算资源，最终迫使业务访问异常，当然这是表象。黑客的诉求从来不是如此，DDoS只是他们手里的筹码，要么敲诈勒索、要么利益冲突、要么表达政治立场。人在江湖飘，哪有不挨刀，不管是要钱还是要命，杀人越货从古至今延续到现在，从人的江湖蔓延到网络世界，甚至愈演愈烈。

某网络游戏上线公测前10分钟，主力机房遭遇DDoS攻击，带宽瞬间被占满，上游路由节点被打瘫，游戏发行商被迫宣布停止公测。

某地国土资源交易中心在线拍卖市中心“地王”标段，价格屡创新高，盘中突然遭遇DDoS攻击，最终导致废标。

诸如此类的案例数不胜数，敲诈勒索已然成为了阳光产业，明码标价，1000台在线主机一天500元，四处可见DDoS的黑产广告，一如满大街的办证和发票广告一样刺眼，最让人瞠目结舌的是，大多有关DDoS攻击的文章评论区都被这些黑产广告霸占，你在上边喊捉贼，他们在下面吆喝买卖，和谐共处。

而运营商带宽租赁成本相当昂贵，1G的带宽一年费用大致20万左右，因此大多数客户都是按需购买带宽，根本没有足够的闲置资源来对付攻击，那攻击来了怎么办，老乡们不用怕，还可以找专业DDoS防护厂商。

说到底，DDoS是一场关乎资源的战争，攻击方式和诉求时有变化，不变的唯有占据高比例的妥协和退步。

二、 新趋势、新挑战

在DDoS的世界里，旧的攻击方法还没退出历史舞台，新的攻击手段已经蜂拥而至，各类反射型攻击大有四两拨千斤的味道。于是乎夹杂着UDP Flood、CC、DNS和NTP反射的混合攻击四处肆虐，大有大军过境寸草不生之势。

混合型攻击比例大幅增长，少数混合型攻击至多会用到5种以上方法组合，这给攻击检测和流量清洗都带来了更大的挑战，此为趋势之一。

十年之前，最大的DDoS流量不超过8Gbps，十年之后，最大的攻击流量已经是8Gbps的50倍开外。

2013年以前DDoS攻击没有超过200Gbps。

2013年3月国际非营利性组织Spamhaus遭受300Gbps的攻击。

2014年2月CloudFlare遭受400Gbps的攻击。

2014年12月阿里云上某客户遭受453Gbps的攻击。

一个接一个的历史记录被残酷地刷新，令人庆幸的是，针对云上某客户的453Gbps的攻击被阿里云扛下来了，此次攻击涉及20万家庭、5万服务器、50个IDC机房，黑产控制资源之多让人震惊，但问题是又有几家企业拥有等同阿里云的带宽资源和DDoS清洗技术。

453G是个什么概念，笔者举个例子，某省骨干网有两个出口，一个出口在省会城市，带宽是700G。另一个出口在某地级市，出口是500G。453Gbps的攻击流量能够瞬间搞瘫该省除这两个城市之外的任意城市城域网，当然500G带宽的那个出口城市同样也是岌岌可危。

Arbor Network在第11届年度全球基础设施安全报告中披露2015年的DDoS攻击强度超过500Gbps，而且DDoS攻击流量在100Gbps以上的案例越来越多，攻击流量屡刷新高，没有最高，只有更高。

大流量很厉害，是不是小流量DDoS攻击造成的破坏要小一些呢，答案是否定的。

小流量分为“小而快”和“小而慢”两种，小而快的DDoS攻击像夜幕中的刺客，擅长隐蔽，可能你还未觉察到它，它就已经完成了一次攻击。业界叫这类攻击为脉冲攻击，老外把它叫做Hit-and-Run DDoS,顾名思义就是打完就跑，小而快的DDoS攻击令大多数网络游戏厂商头疼不已。

小而慢的DDoS攻击如同塞外沙漠龙门客栈的老板娘金镶玉，一颦一笑风情万千温柔种种，但就在不经意间勾走汉子的心思。小而慢攻击主要针对于业务逻辑不够完善或协议漏洞发起，比起小而快，小而慢更不会让人发现和识别，堪称DDoS猥琐流代表。

DDoS攻击两极分化愈发明显，流量大者来势迅猛，攻城掠地只在弹指间。流量小者隐而不发，杀敌于无形之中。此为趋势之二。

攻击设备从IDC机房和办公室走向千家万户，从最开始的服务器、PC电脑，再到Pad、手机、家里的路由器、智能电视、智能摄像头等智能家居设备，都有可能成为DDoS的攻击源头。

十年前的IDC在5M、10M销售带宽，十年后的今天，笔者家里是电信100M的光纤到户，20M、50M的家庭宽带已经普及，而且资费相对而言下降了许多。同样黑客会感谢摩尔定律，让现在的手机等智能设备的计算能力和性能超越了十多年前的古董PC电脑。

想象一下，家里那闪烁不停的路由器，它已经被黑客控制，正在参与某起精心筹划的攻击。公司那台连网的自动咖啡机，一边煮着芳香四溢的咖啡，另一边正攻击着某个金融网站。行驶在城市快速道上的汽车，低沉的引擎声下，车载智能终端正向外发起DDoS攻击请求。

家庭网络丰富的带宽资源和计算资源成为孕育DDoS攻击的新温床，攻击设备从专业数据节点星火燎原到千家万户，此为趋势之三。

DDoS的新趋势当然还有攻击目标行业的变化，黑产业务链条的变化等等，篇幅有限就不再一一展开。

三、新长征路上的抗D

桃李春风一杯酒，江湖夜雨十年灯。

凭借一己之力，背着盒子去抗D的热血岁月一去不复返，在攻防资源极其不对等的今天，受制于出口带宽，单个硬件盒子的功效极大的弱化，通过部署硬件来防护DDoS攻击的单一模式可能会慢慢淘汰，大流量扛不住，运维成本过高，诸多的原因驱使着这一模式发生改变。

再看今天，攻防环境越发复杂，DDoS攻击的门槛越来越低，而防护成本随着清洗性能大幅增高，业务系统的复杂性也降低了攻击检测的精准度，不同于如同病毒和恶意代码等攻击防护，DDoS强调成本和资源的特殊性增加了企业自建防护体系的难度和成本。

换句话说，除非企业有钱任性，并且拥有丰富经验的安全团队，抛开此类笔者还是建议找专业Anti－DDoS服务提供商。

Anti－DDoS服务模式其实也有较大的变化，最早是本地清洗，等敌军杀到家门口再出门迎敌，那时候敌军规模不算大，虽然把家门口的敌军干掉了，但是上游通道还是被堵死了。然后是CDN模式，试图通过DNS智能解析来缓解DDoS攻击，但是CDN初衷是为了加速，并且只支持Web模式。

再然后就来到了云防护时代，大多数的云计算服务提供商自己云上的客户会经常遭受DDoS攻击，为了解决云上客户的DDoS问题，云服务提供商会形成了自己的一套完整DDoS解决方案，正如阿里云提及的十年攻防一朝成盾，这就是一个经典的场景，云清洗效果得到市场认可之后，广阔天地大有作为，云服务提供商的DDoS清洗服务就面向广大众多非云用户了。

其实说到这里，云服务提供商的DDoS清洗服务有两个隐形优势：

一是云上业务包罗万象，电商、游戏、金融、新型互联网，安全团队经过无数次攻防对抗之后，对各类业务的深刻理解以及DDoS检测规则与业务的耦合度非常人所能及；

二是云服务提供商具备丰富的带宽资源，它可以将闲置带宽通过“去库存”的方式应用到抗D事业中去，这也是一般的云清洗服务商所不能提供的。

这是最好的时代，也是最坏的时代。

万物互联和智能生活的数字变革已然将临，数字变革给我们生活带来便捷的同时，同样也会从网络暗面进行破坏。如果哪天你看到“黑客利用5万台在线豆浆机攻瘫某金融机构官网24小时”这样的头条新闻，请不要惊讶，这就是关于未来可以预见的结果。

也不知道要等到什么时候，才能为DDoS写下一段墓志铭。