大促活动如何抵御大流量 DDoS 攻击？

每一次活动大促带来的迅猛流量，对技术人而言都是一次严峻考验。如果在活动期间遭受黑产恶意 DDoS 攻击，无疑是雪上加霜。电商的特性是业务常态下通常不会遭受大流量 DDoS 攻击，且对延迟敏感，因此只需要在活动期间按需使用 DDoS 防护。本篇文章由专业的安全团队为你分享如何根据 DDoS 攻击情况和业务健康状况，实时调整防护策略，保障业务稳定性的同时，节省大量安全防护和运营成本。

如果你的网站或应用程序突然出现大量可疑的访问量，而正常用户不能访问或无法连接服务器，那很有可能是遭遇了 DDoS 攻击。DDoS 是互联网黑色产业链中成熟且常见的攻击手段，攻击简单粗暴又有效，溯源困难，犯罪成本低。

一、DDos 究竟是如何进行攻击的？

我们通过一个例子可以帮你更形象地理解它：

小王开了一间餐厅，面积不大，最多只能容纳 50 位客人同时就餐。但由于味道好菜量足，每天就餐的客人络绎不绝。火爆的生意引起了这条街上流氓的眼红，他派了 100 多人来小王的店里捣乱。这些人看上去和普通顾客没什么区别，小王和服务员只能正常提供服务，但这些人只是不停地询问菜品和价格，并不点菜，霸占了所有的座位和服务员，使其他客人无法正常就餐，最终导致餐厅倒闭。

这就是典型的 DDoS 攻击模式，它在短时间内发起大量请求，超过系统可处理范围，使目标网络或系统资源耗尽，导致服务暂时中断或停止，正常用户无法访问。

DDoS 全称 Distributed Denial-of-Service，其中 Denial-of-Service 意为拒绝服务，它的目的就是使服务不能访问。Distributed 是分布式，指的是这种攻击不是来自一个源头，有可能来源于成千上万台设备。

随着 IoT 行业发展，物联网设备增多，在线时间长，漏洞更新周期长，成为攻击者漏洞利用的温床，物联网设备逐渐成为 DDoS 攻击的主力军。 据统计，2021 年 DDoS 混合攻击大幅增长，较 2020 年增长 80.8%，2022 年 DDoS 攻击威胁创历年新高，超大规模攻击持续增长已成为常态。

二、DDoS 的主要攻击方式

一般来说，DDoS 的表现形式主要有两种：

• 流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机，包括 UDP 洪水攻击、ICMP 洪水攻击、死亡之 Ping、泪滴攻击等攻击方式。

• 资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务，包括 SYN flood、LAND 攻击、CC 攻击、僵尸网络攻击、应用程序级洪水攻击等攻击方式。

根据行业权威报告显示，僵尸网络不再局限于单一的 DDoS 攻击手段，而是选择与勒索软件、挖矿木马合作进行攻击，部分则转向分布式爆破攻击，攻击手段的丰富和灵活的切换使得黑灰产能够进一步降低 DDoS 攻击成本，提升攻击效果。

三、DDoS 攻击如何防范？

我们虽然无法阻止恶意的攻击者向服务器发送大量不真实的访问数据信息，但可以提前做好准备，提高负载处理的能力。比如可以为带宽扩容，在短时间内为网站急剧扩容，提供几倍或几十倍的带宽，顶住大流量的请求。也可以购买 IP 高防服务，只需在 DNS 服务商处，将待保护的域名在 CNAME 解析到京东云为您配置的安全域名上，即可完成接入，有效抵御 SYN Flood、UDP Flood、ICMP Flood 等各种大流量攻击。IP 高防总防护能力达到 TB 级，轻松抵御超大流量攻击。

但某些企业用户业务常态下未遭受大流量 DDoS 攻击，且对延迟敏感，因此用户希望常态下不使用 DDoS 防护产品和服务。只在企业大促、展会、产品发布会、新业务上线等重要活动场景，以及企业融资、并购、上市等关乎企业发展的重大事件期间，极易遭受竞争对手和黑产恶意 DDoS 攻击，需要在活动期间按需使用 DDoS 防护产品和服务。并由专业的安全团队提供 7*24 小时安全重保，监控 DDoS 攻击情况和业务健康状况，实时调整防护策略，保障业务稳定性的同时，也可节省大量安全防护和运营成本。

四、DDoS 定制防护服务应势而出

京东云上某电商客户，在大促前期收到威胁情报，活动期间会有大量来自海外的 DDoS 攻击。经过京东云安全团队观察，攻击流量中接近 4 成来自海外，且 CC 攻击较多，由于客户已经接入 IP 高防产品，CC 攻击被有效防护。攻击者发现 CC 攻击未能导致客户源站拒绝服务后，开始尝试四层大流量攻击，攻击峰值超过客户 IP 高防保底带宽，弹性防护生效后开始按天产生费用。

为降低客户 DDoS 防护整体投入，京东云应势推出 DDoS 定制防护服务（Anti-DDoS Premium Service），为此类有活动重保需求的用户提供专业的 DDoS 攻击防护解决方案，根据用户应用场景提供定制化的近源清洗、流量压制、DNS 刷新等服务，保障用户业务持续稳定运行。

在上述案例中，京东云安全团队协助客户开启流量压制功能，封禁海外流量，有效降低了攻击流量进入 IP 高防节点，减小客户防护压力，顺利完成客户大促重保防护任务。

京东云安全团队可以提供 7*24 小时远程支持，实时监控攻击趋势和业务健康状况，保障业务持续稳定运行。 全面分析客户所面临的安全威胁，针对客户重大业务活动提供专属的 DDoS 防护方案。并根据客户场景定制服务内容，弹性计费，帮助客户节省成本。

五、DDoS 定制防护服务架构原理

DDoS 定制防护服务包括近源清洗、流量压制、DNS 刷新等服务，可根据具体客户场景提供定制服务：

近源清洗

近源清洗是在运营商侧骨干网络提供大流量的 DDoS 攻击清洗，清洗靠近攻击源，能够有效缓解用户 IP 高防实例和京东云上源站的防护压力，降低被攻击业务进入黑洞的概率。

流量压制

流量压制是在运营商侧骨干网络实现流量封禁，可根据业务实际被攻击的流量地域分布特性，自主选择封禁区域。例如当用户发现 DDoS 攻击中海外流量占比较高，而业务本身并不对海外提供服务，用户可自主选择封禁海外流量，同时也支持用户随时解除封禁。

DNS 刷新

域名系统（Domain Name System，简称 DNS）是整个互联网服务的基础系统之一，负责将人们访问的互联网域名转换为 IP 地址，这一转换的过程叫做“域名解析”， 所以 DNS 又称“域名解析系统”。

域名系统每个节点都由若干 DNS 服务器组成。这些节点服务器中拥有域名解析配置管理权限的服务器称为权威 DNS 服务器。没有域名解析配置管理权限，但是能同步权威 DNS 服务器数据，利用同步缓存提供解析服务的称为缓存 DNS 服务器。权威 DNS 服务器只拥有部分域名的数据，且互相之间没有直接联系。为能够提供更全面的域名解析服务，产生了递归 DNS 服务器，互联网中的递归 DNS 服务器通常由运营商管理。

DNS 刷新即运营商递归 DNS 服务器发起的和权威 DNS 服务器同步过程，同步过程秒级生效，保障用户业务接入和切换流畅。