随着互联网的发展，DDoS攻击流量峰值越来越高，从1G到10G，从10G再到100G。

2017年，360安全团队检测到一场流量规模史无前例的DDoS攻击，致使全球多个云服务器崩溃，该攻击最高流量接近1.4T。DDoS攻击正式迈入T级时代。

虽然这次检测T级流量没有得到广泛认可，但在2018年初，GitHub遭受峰值达1.35TB/秒新闻上了热搜，不到一周时间，又传出黑客以每秒1.7Tbps流量企图攻击某实体系统。2020年，亚马逊宣布成功抵御2.3T峰值的攻击流量，再次刷新历史记录。人们这才意识到，T级别DDoS攻击离我们越来越近了。

DDoS防御历史

DDoS作为一种古老的攻击方式，其防御方式也经历了几个阶段。

内核优化时代

互联网蛮荒时代，带宽很小，大部分用户通过56K的modem拨号上网，当时虽然没有类似DDoS云清洗服务还抵御DDoS攻击，但黑客所能利用的带宽量也小。

对于防御方而言，只需通过优化内核参数、iptables就能解决DDoS攻击。DDoS频发的行业，还可以通过编写内核防护模块来提升抗D能力。

硬件防火墙时代

Anti-DDoS硬件防火墙成为这个时代的主流抗DDoS产品。

Anti-DDoS硬件防火墙对功耗、转发芯片、操作系统等各个部分进行优化，以达到防御DDoS的目的。Anti-DDoS硬件防火墙可以抗住100GBPS甚至更高的DDoS攻击，对主流的攻击方式，例如SYN-FLOOD、CC攻击、DNS-FLOOD等都有较强的防御能力。

但是这种方式成本相当高， 攻击者虽然不能瘫痪服务器，但防御方往往也会付出很大的成本代价。

DDoS云清洗时代

云计算时代，抗D有了更好的方案。当检测到异常流量，或者超出IDC机房的流量阈值时，先将流量转到云平台进行清洗，然后再将干净的流量转发回用户真正的源站，这样一来DDoS防护复杂度被简化，成本也下降了不少。

那么，DDoS云清洗到底是怎么抵御DDoS攻击的呢？：

防御方式

带宽

理论上，只要带宽足够大，任何DDoS都无法影响业务的正常运行。对于国内DDoS情况来说，300Gbps的防护能力是入门级别的，一些云服务提供商还会提供1Tbps以上的防护能力。

大流量清洗集群

DDoS云清洗的一项关键技术是如何将攻击流量拦截下来，攻击防护、集群架构、运营体系、负载均衡及数据分析系统是五种主要手段。

攻击防护

绝大多数专业的DDoS清洗设备的防护方法有：畸形包、特定协议丢弃、源反弹认证体系、统计限速、行为识别等，对主流的DDoS攻击方式均有效果。

集群架构

DDoS云清洗必须采用集群架构，拥有弹性扩容的能力。

运营体系

完善的运营体系，是对抗DDoS攻击最重要的环节。云服务厂商需要经过多年与DDoS对抗的经验积累，同时还能最快速度发现新型攻击，快速分析和找到解决办法。

负载均衡

负载均衡技术是DDoS云清洗的关键技术，这里面包括4层负载均衡和7层负载均衡。

4层负载均衡技术，为每一个客户业务提供一个独享的IP，本身的转发能力要高性能、高可用性，同时还要具备安全防护能力，能够对抗连接型攻击。

7层负载均衡技术，针对网站类业务的代理和防护，对HTTP/HTTPS协议的支持，各种CC攻击的防护，都会集成在7层负载均衡的系统里面。

数据分析系统

对流量进行分析、应用识别、攻击分析，DDoS攻击防护都必须做到这些。目前主流的DDoS清洗都已经摆脱了传统的统计分析算法，引入行为识、机器学习等方式，能够更好的帮助客户进行攻击防护。