首選CDN技術！

那麼對於一個網站來說，使用CDN有什麼好處呢？

1.加速

縮短主機之間訪問時資訊傳遞的距離，分發至不同線路的節點後可以讓不同線路的訪問者在訪問時提升實際的響應速度（比如電信和聯通網路的訪問差異）。

2.穩定

當攻擊者攻擊一個節點僅僅是影響一個節點的快取訪問而已，CDN的“內容路由”會自動的啟用為你配置另一個節點，以保持網站訪問穩定。

3.安全保護

CDN因為節點分散，攻擊者比較難下手，分發後的不同節點IP地址不同，而且會自然的隱藏掉源寄存主機的真實IP，這樣可以防止一些惡意攻擊。

做了CDN後，如果再在承載網之上、由分佈在不同區域的邊緣節點伺服器群組成的分散式網路，替代傳統以WEB Server為中心的資料傳輸模式，防禦攻擊。只需將網站域名跟IP解析到對應節點上，才能真正幫助網站抵禦DDoS攻擊，它應該還具備以下功能：

1、節點快取

各節點具備高速讀寫固態硬碟SSD儲存，配合SSD加速能力，大幅減少使用者訪問等待時間，提高可用性。

2、精準排程

自主研發的排程系統，單機支援百萬級別域名排程

3、多場景的業務支援，多元件配合服務

不論您的站點屬於門戶資訊類網站、多媒體視音訊類網站、遊戲類網站或是移動應用類APP等等，CDN會智慧分配排程域提供針對需求的業務支援，全面站點提速。

5、自助式管理

自助式控制檯，自定義配置分鐘級全節點智慧部署

6、實時監控

全面的網路監控，豐富的資料分析，做到全景監控資訊的作用！

最後，也是那句老話，技術一直在進步，保持自己的技術不落後，才能真正的保護自己！

隨著網路技術的發展，DDoS 攻擊也呈現出攻擊強度越來越激烈的新特徵。相關研究團隊發現：2019年上半年已經出現持續2個月攻擊接近Tb級的情況，大流量攻擊以TCP類攻擊為主，單一網段攻擊流量持續且流量大，目前已監控到單一C段流量近200G。

DDoS攻防的本質是資源對抗，抗D是DDoS攻擊防護系統的一個簡稱，是針對DDoS攻擊的有效防禦手段。傳統的防禦方法透過硬體裝置來清洗流量，成本非常高昂，低端的2U裝置也通常動輒幾十上百萬一臺。如果網際網路接入的頻寬不夠大，一旦有大流量注入，頻寬資源就會耗盡致使伺服器再次中斷。當前的Tb級攻擊時代，基本都是“有錢人”的遊戲。基於雲計算的DDoS防護解決方案應運而生，成為了新一代的智慧抗D黑魔法。

可以選擇一個國內的抗D的公司，比如騰訊雲、長亭等，這些公司可以提供有效、響應迅速的抗D解決方案，具有遍佈全國多個城市的T級防護容量的高防節點。

我們要想有效的防護DDoS攻擊，首先要了解不同的DDoS攻擊所針對的不同網路元件和協議。

攻擊分類及應對

基於不同的層級，攻擊可以分為三類：

應用層攻擊：對第七層也就是應用層的攻擊，這種攻擊的目的是耗盡目標的應用資源。比如HTTP洪水攻擊，大量的請求耗盡HTTP伺服器的響應能力，導致拒絕服務。防禦的做法通常是監視訪問者的行為，阻止已知的殭屍網路情報源，或者是透過JS測試、cookie、驗證碼等技術來識別可疑或者無法識別的源實體。

協議攻擊：通常透過消耗伺服器、防火牆或者負載均衡裝置之類的中間資源，使網路三層或者四層的協議的新建數、可連線數、可用狀態表等達到極限，導致拒絕服務。這種攻擊一般需要在惡意流量未到達站點之前就對其進行阻斷，因為此類DDoS攻擊就是想建立連線，並長時間佔用連線。可以利用訪問者識別技術將合法的訪問者和惡意的客戶端分開，從而緩解此類攻擊。Volumetric攻擊：此類攻擊近幾年經常出現，也應該是提問者提到的Tb級別的攻擊型別。它通常消耗目標與Internet之間的所有頻寬來造成訪問的阻塞。透過放大流量的形式，將大量的惡意資料傳送給攻擊目標。這種攻擊一般需要專業的DDoS防護廠商（Arbor，Cloudflare和Akamai等），利用分佈在全球的清理中心對洪水般的攻擊流量進行吸收清理，極端情況下直接引入黑洞路由之類的設施進行全量丟棄。防護的整體策略

公司安全解決方案就是採用多級保護的策略，包括專業的異常流量管理系統，結合防火牆、內容過濾、負載均衡和其他的DDoS防禦技術，共同配合來緩解DDoS攻擊的影響。

對於Tb級的DDoS攻擊，我們最明智的選擇是藉助專業的雲服務DDoS防護商。因為：1. 一般企業沒有必要花費大量的資金來組建一套Tb級的防禦工事；2. 我們藉助於專業廠商，可以依據DDoS事件的資源使用量來付費；3. 他們的重要工作就是監視全球的最新DDoS動態，應急響應更有的放矢。而對於我們，這樣可以方便在安全性和靈活性之間找到一個屬於自己公司的平衡點。

比如GitHub在2018年遭受的Memcached伺服器DDoS攻擊，從上圖可以看到其峰值達到了1.35Tbps。GitHub的防禦系統面對突發的Tb級的攻擊，僅僅堅持了10分鐘，就頂不住了。他們找來了Akamai託管了所有訪問GitHub的流量，利用後者的資料清理中心對惡意流量進行清理。8分鐘後，攻擊未果，於是攻擊者才就此作罷。

當然雲服務DDoS防護商也是按照回答開頭所說的，根據不同的攻擊型別進行不同的防禦，只是相比於公司，其擁有更大的頻寬和資源。

新的趨勢

隨著大資料和5G時代的到來，據報道將有千億級的物聯網裝置會逐步聯網。所以，現在DDoS攻擊呈現出一種新的發展趨勢：loT裝置的殭屍網路。比如比較火的Mirai及其各種變種、Torii亦或是劫持Hadoop叢集的DemonBot。我們必須對此重點關注。