随着数字化和远程工作的兴起,网络犯罪率也同时不断增长。 其中,Cloudflare数据显示,2025年仅前三个季度就已累计缓解3,620万次DDoS攻击,相当于2024年全年缓解DDoS攻击总数的170%。这表明当前网络空间正面临着有记录以来最强的攻击浪潮,除了攻击次数更频繁以外,DDoS 攻击也变得更具有威胁性,使得受害者面临更大的压力。
目前抵御 DDoS 攻击常见的措施有:Anti-DDoS、网络应用程序防火墙 (WAF)和流量清洗。 今天和余初云一起了解预防 DDoS 攻击的流量清洗是如何运作的吧!
DDoS流量清洗如何运作?
DDoS 攻击的原理是操纵大量装置对服务器或系统送出请求,让服务器工作量超载,进而无法正常运作。 最大规模的 DDoS 攻击,每秒请求数可以达到 7100 万。 我们都有使用电脑时,开太多程序或是网页而造成电脑当机或无法即时执行命令的经验。 可以想象一下在一秒内同时打开 7100 万个程序,电脑的反应会是什么。
流量清洗的原理是通过分析和过滤进到一个网页的流量来抵御 DDoS 攻击。 在企业的网络安全系统侦测到异常大量的流量时,以前端网络设备的 BGP (Border Gateway Protocol) 路由或 DNS 等方式把恶意的服务器请求引导至第三地的流量清洗中心 (Scrubbing Center)。 而在流量清洗中心,入站的流量会被一一检视、分析,把恶意的请求清洗之后,再送回本来的目的地,以有效防御 DDoS 攻击。
💡 余初云小知识:什么是 BGP?
Border Gateway Protocol (BGP) 中文叫做边界网关通信协议,可以想象成网络中的邮政服务。 收到信件之后,邮政系统会考虑此封信所有可能传递的路径,然后选择其中最佳的一个。 而在网络上,当有数据要被传输的时候,BGP 也会负责找出最迅速的一条路径。
流量清洗中心是一个中央流量清洗站,除了可以移除 DDoS 攻击的请求,也可以清洗掉其他恶意的漏洞和攻击。 网络服务供应商和云商都有建置或使用流量清洗中心,或提供流量清洗服务。 而流量清洗中心会配有在网络层和应用层可以应付巨量流量攻击的系统。
其他 DDoS 防御方法
除了流量清洗以外,其他常见的 DDoS 防御方式有:
网站应用程序防火墙 Web Application Firewall (WAF)
WAF 也是一种可以检查和过滤网络流量的技术,可以分析并加以阻挡恶意请求。 主要用于缓解较复杂的 OSI 第七层攻击。
内容传递网络 Content Delivery Network (CDN)
内容传递网络主要是用来储存快取数据,减轻原服务器负担。 使用 CDN 之后,恶意请求的流量被引导至节点,而非原服务器,以此抵御 DDoS 攻击。
负载平衡器
负载平衡器可以用来引导并控制进入到一个应用程序服务器的流量,分析目前服务器的使用状况,再以此为依据分配访客或用户的流量。 负载平衡器因而可以用来保护服务器免于大规模 DDoS 攻击。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2236.html