随着DDoS攻击的衍变，对于防御这一工作也增加了更大的难度。相信很多企业遇见DDoS攻击时，都会想着先让自己公司的安全人员在现在的网络基础设施上想办法解决。的确有能力的企业根据自己的一些基础防护，可以起到一定的到缓解作用，到目前为止，针对DDOS攻击是没有完全可以杜绝的解决方案，简单而言众多防御只能起到缓解，却不可以完全的根治DDoS攻击。比如防火墙，高防服务器等安全产品虽然拥有DDOS防护的能力，但这只是针对小流量，遇见大的流量完全束手无策。尤其是针对大的CC并发攻击更是没有脾气。

　　因为宽带网速的提升，DDOS流量攻击也随之越来越高，每个月的500G左右的攻击流量在某些特定的行业也是频频发生，那么遇见500G左右的攻击企业公司该如何应对防御呢?可以肯定的是需要进行多层防御才可以抵抗。

　　首先是ISP/WAN层，这层一般是对终端用户不可见的，而且中小企业一般是不会接触到这层的。不过对于一些大型的互联网企业、公有云企业这层是不可缺少的，主要是当流量超过本身能处理的极限时，就需要借助互联网服务提供商的资源。一些大型互联网企业本身建设的带宽是比较大的，但这面对大流量DDOS攻击的时候还是没不能完全拥有抵抗的能力。

　　实际现在云计算服务器厂商，以及一部分的安全防护厂商面对500G左右的攻击，除过需要自身的防护过滤清洗能力，依然是需要依靠运营商的BGP优化线路。虽然有些服务器厂商，针对大流量攻击直接进行黑洞路由操作，但这样做除了将攻击流量黑洞，也会将部分真实用户的访问一起黑洞掉，对用户体验是一种打折扣的行为。对公司的信誉也有一定的影响，业务也会损失。相比，在不增加延迟的情况下，靠近攻击源位置对攻击进行过滤清洗，回源的方式对于用户的体验会好很多。不过这种高防防御比起直接黑洞的价格会高一点点。

　　然后是CDN/Internet层，注明下CDN并不是专业抗DdoS攻击的，只是对于Web类应用服务器而言，刚好有一点的抗DDoS能力。以12306的抢票为例，春节放票时访问量非常大，数据不亚于DDoS的CC并发，而在平台的CDN层面利用验证码会过滤绝大多数请求，最后到达数据库的请求只占整体请求量的很小一部分。CDN一般是先通过自身的带宽硬抗，抗不了会通过动态请求回到源站，如果源站前端的抗DDoS能力或者源站前的带宽比较有限，就会被彻底DdoS，造成拒绝服务。

　　这就要预先设置好网站的CNAME，将域名指向安全防护厂商的DNS服务器，在检测到攻击发生时，域名指向自己的清洗集群，然后再将清洗后的流量回源，在对攻击流量进行分流的时候，会提前准备好一个域名到IP的地址池，当IP被攻击时封禁并启用地址池中的下一个IP，如此往复。不过CDN仅对Web类服务有效，对游戏类TCP直连的服务无效的。

　　对于Datacenter层的防御主要是将ADS设备部署在出口位置，达到近源清洗 ，这个主要是根据特定的业务场景确认阈值，然后将触发机制建立的阈值上，通过策略，ADS可以自动缓解一些常见的DDOS攻击类型，但是一部分衍变的就需要人工识别。

　　最后是OS/APP层，主要是将ADS设备过滤掉的流量再一次的进行过滤和缓解，为应用层协议ADS没防住后做的补充防护。目前互联网公司应用最多的是Web服务，所以他们一般会选择在系统层面做应用层的DDoS防护，

　　以上的基层防御基本都是建立在足够大的带宽下，因此如果是大流量还是建议找专业的安全防护公司，及时处理将损失降到最低。杭州游盾网络科技有限公司是一家技术领先的云防护公司，专为企业和开发者提供实惠有效的抗DDOS、抗CC攻击等一系列网络安全防护解决方案，助您轻松应对产品用户激增、高并发、海量访问等带来的问题。游盾投入巨资自主研发了高性能抗DDOS、CC防火墙，拥有自主运营的数据中心，全网超2T的超级防御能力。游盾始终以客户的实际需求为核心，打造了一站式的综合服务平台，致力于为您提供防护效果佳、防护成本低，稳定易接入的高品质防护服