高性能、低成本的高防IP产品现实吗？

2018，一起Memcached反射放大攻击的流量峰值达到了1.7 T bps，当时很多安全媒体用了核弹级这个词汇，影响程度已经令人咋舌。然而，今年，DDoS攻击流量峰值再创新高。

智能技术开启了人类社会发展的崭新一页，生活方式迎来翻天覆地的便捷革命的同时，网络威胁者也露出了更加猖獗的笑容，典型的趋势之一则是：DDoS攻击的流量峰值从G 时代正式跨入了 T 时代。

Neustar公司安全运营中心(SOC)表示，在今年2月记录了对Amazon Web Services客户端的2.3 Tbps攻击，这是有记录以来最大的体积DDoS攻击，持续了五天零十八小时。该事件宣告着2Tb级攻击时代正式来临，巨大的破坏力再一次引起人们的注意。

尽管，T b级别的DDoS攻击事件比较罕见，但令人担忧的是其他流量级别的DDoS攻击已经成为一种“常态”。

 今年全球疫情加速了线下业务向线上转移的速度，如大量企业开始探索远程办公，此外，国内也在大力推动新基建，企业的数字化转型正在如火如荼的进行，这让DDoS攻击者拥有大量可乘之机。

 

根据网络安全公司Neustar的报告，与去年同期相比，今年上半年分布式拒绝服务(DDoS)攻击的数量增加了151%。同时，与上年同期相比，今年上半年的攻击总数增加了2.5倍以上。其中，100 Gbps以上的攻击数量增长了275%，而小型攻击(5 Gbps及以下)的数量增长了200%以上。

此外，值得注意的是，Neustar还提到，一半以上的缓解威胁利用了三个或更多的媒介，这清楚地表明攻击正在变得越来越复杂。

随着业务的多元以及市场竞争的激烈发展，商业竞争、恶意报复、勒索甚至是发泄不满，都可能成为企业遭受DDoS攻击的缘由。有数据统计显示，超过8成的企业在近一年内都遭受过DDoS攻击，显然，DDoS攻击已经成了为针对企业的普遍攻击手段。而且，DDoS的攻击时段多为业务高峰期或在线人数最多时段，以达到最大的破坏效果，这对于追求盈利的企业来说，会造成巨大的品牌影响力损害以及财务损失。

针对这个常见的网络攻击方式，很多企业的应对方式是部署带有抗DDOS功能的WAF产品。但是，这种捆绑功能，实际上只能针对小流量，或者应用层的攻击，有一定效果。 DDoS攻击流量达到一定的峰值，只靠防护设备是很难挡住，需要选择更专业的抗DDOS产品。

借助运营商的能力，进行紧急扩容或开启流量清洗，针对反射放大类攻击,或直接在运营商侧进行过滤,都会提升抗DDoS攻击的防御效果。目前市场上专业的抗DDOS产品一般可以分成这几类：本地设备清洗、运营商清洗、云清洗和一些新技术在抗DDOS中的应用。相比之下，传统安全厂商提供抗DDOS硬件盒子, 如流量清洗设备；云安全厂商所提供的SaaS模式部署的抗DDOS服务，更容易被接受，且成本及人力投入也更小。

目前，流量清洗市场主要由阿里云等行业巨头占据主导地位，该类厂商的产品性能较强，但价格高昂。这对于一般的中小企业或者一些个人用户来说，有相当大的价格压力。如何兼顾到这群客户的需求？市场上出现了高性价比，实用性能的产品，如中云时代 DDoS 高防 IP 产品。

中云时代 DDoS 高防 IP 是针对容易遭受大流量 DDoS 攻击的电商、金融、游戏等类型的客户专门推出的增值云防护服务。当攻击发⽣时，所有攻击流量将被牵引到⼜拍云分布各地的不同⾼防节点，分布式处理完成后，将正常流量返回最终源站。具体应用流程为：用户可通过配置高防 IP，当其域名或源站 IP 在遭受⼤流量的 DDoS 攻击时，通过⾼防 IP 代理源站 IP ⾯向⽤户，隐藏源站 IP ，将攻击流量牵引到⾼防 IP 进⾏清洗后，把正常访问的流量返回源站，确保源站的安全稳定。

通过对于产品的实操，以及结合相应的官方资料及实验数据，可以将中云时代的高防IP产品亮点分析为三个方面：

第一：总体来看，该产品拥有较高的性价比，与大安全厂商昂贵的价格相比，是适合小企业及个人的选择。游戏企业是该类攻击的主要受害者，其中不乏大量的小型企业。一般这类型客户面临的问题包括：预算有限，安全专业人士有限，企业安全配置能力有限。他们对于安全产品的性价比非常看重。

这款产品可以较好地协调上述问题：首先，⾼防 IP 提供在线 SaaS 服务接⼊⽅式，⽤户不需要购买任何硬件设施，可直接使⽤⾼防 IP 服务，⾃助配置管理。据官方给出的数据显示，只要⽹站或应⽤具备正规运营的资质，通过简单的 DNS 操作，在 10min 内即可接⼊防护。而且，通过测评过程可以发现，其控制台⽀持 DDoS 流量数据透明化展示。这对于资源有限的企业来说，这样灵活便捷部署，且可视化的数据呈现方式可以减轻更多的人力资源投入，降低管理运营门槛。

第二，专业防护能力较好。从之前的一次实际的攻击测试记录中可以分析出其防护能力。首先，从流量清洗效率来看，该产品在15分钟内可以将异常流量大幅度降低，半小时内完成流量清洗。

在可抵御的最大流量方面，其支持异地多节点多线路防护，单点防御可达 2T。可抵御的流量类型方面，其⽀持 BGP 、电信、 联通、移动等多类线路，可以有效防御 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻击等。

市场上很多抗DDOS产品面临产品能力问题，特别是针对CC攻击，产品防御效果不明显，以及攻击可视化、溯源等能力不足的问题。相比之下，中云时代的产品在防护能力和产品端方面都有不错的一面。

第三，该产品延展性较强，⽀持 TCP、UDP、HTTP、HTTPS 等协议，针对不同场景、不同类型的攻击均可防御，满⾜电商、⾦融、游戏等各种类型的业务需求。这对于涉及多领域业务的企业来说是一个有利的消息，可以避免多个产品部署的繁琐。