支持

什么是 DDoS 缓解?

妥善实施 DDoS 缓解是确保网站在攻击期间保持在线状态的重要手段。探索 DDoS 缓解过程以及要在缓解服务中寻找的重要特征。

学习目标

阅读本文后,您将能够:

  • 探索 DDoS 攻击缓解策略
  • 了解 DDoS 攻击范围
  • 重点介绍常见攻击

相关内容

什么是 DDoS 攻击?

什么是拒绝服务(DoS)攻击?

DNS 洪水攻击

Web 应用程序防火墙(WAF)

死亡之 Ping(历史性)

想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 DDoS 缓解?

DDoS 缓解是指成功保护目标服务器或网络以抵御分布式拒绝服务 (DDoS) 攻击的过程。目标受害者可以使用专门设计的网络设备或基于云的保护服务缓解传入的威胁。

DDoS 防护阶段

使用基于云的提供商来缓解 DDoS 攻击时,可以分为 4 个阶段:

  1. 检测 - 为阻止分布式攻击,网站需要能够区分攻击流量与大规模正常流量。如果产品发布或其他公告导致网站涌入大批新的合法访问者,那么网站最不希望的就是限制访问者或以其他方式阻止访问者查看网站内容。IP 信誉、常见攻击模式和过往数据均有助于妥善完成检测。
  2. 响应 - 在此步骤中,DDoS 保护网络将通过智能方式丢弃恶意机器人流量并吸收其余流量,从而对传入的已识别威胁做出响应。利用 WAF 页面规则应对应用程序层(L7)攻击,或者运用其他过滤流程来应对低层(L3/L4)攻击(如 memcachedNTP 放大),网络能够缓解中断攻击。
  3. 路由 - 高效 DDoS 缓解解决方案通过智能方式路由流量,将剩余流量分解为可管理的区块,从而防止拒绝服务
  4. 调整 - 卓越的网络可以分析流量总结模式(如重复违规的 IP 阻止),特别是攻击来自某些特定国家/地区或特定协议使用不当时效果尤为显著。通过调整应对攻击模式,保护服务可以加强自身以防范未来攻击。
遭到攻击?
防范网络攻击的全方位保护
与专家讨论

选择 DDoS 缓解服务

传统 DDoS 缓解解决方案需要采购现场设备并过滤传入流量。这种方法需要采购并维护昂贵的设备,而且还依赖能够缓解攻击的网络。如果 DDoS 攻击规模足够大,它可能摧毁上游的网络基础设施,导致各种现场解决方案无法有效发挥作用。如果采购基于云的 DDoS 缓解服务,应评估服务的某些特征。

  1. 可扩展性 - 高效解决方案必需能够适应不断增长的业务需求,并对层出不穷的 DDoS 攻击做出响应。超过每秒 1 TB/s (TBPS) 的攻击已然出现,而且尚无迹象表明攻击流量规模呈下滑趋势。Cloudflare 网络能够处理比以往任何时候都大得多的 DDoS 攻击。
  2. 灵活性 - 能够创建临时策略和模式,因而可以实时调整 Web 资产以抵御传入的威胁。为确保站点在攻击期间保持在线状态,实施 Page Rule 并在整个网络中填充相关更改显得至关重要。
  3. 可靠性 - DDoS 保护就好比座椅安全带,只在必要时使用,一旦使用最好确保正常运行。无论任何保护策略,保证 DDoS 解决方案可靠性对于顺利推行策略均至关重要。为确保服务长时间正常运行及实现较高的站点可靠性,工程师每天 24 小时不间断工作,以维持网络在线状态并识别新威胁。冗余、failover 及广阔的数据中心网络是推行平台战略的核心。
  4. 网络规模 - 随着具体协议和攻击手段的不断转变,互联网 DDoS 攻击也存在一定的规律。鉴于网络庞大且数据传输范围较广,DDoS 缓解提供商可以快速有效地分析和响应攻击,通常能够抢先一步阻止攻击。Cloudflare 网络为数百万个网站运行互联网请求,为分析全球攻击流量数据创造了优势。

    5. 常见问题解答

    DDoS 缓解的主要目标是什么?

    DDoS 防护可保护网络或服务器免受分布式拒绝服务攻击。目标是通过丢弃攻击流量并吸收其余流量来使网站或服务保持在线。

    DDoS 防护服务如何区分攻击和真正的访问者?

    DDoS 缓解解决方案使用多种因素来识别合法流量,包括常见攻击模式、IP 信誉和历史数据。这可确保当站点的真实访问者激增时,他们不会被意外阻止或限流。

    响应 DDoS 威胁有哪些关键阶段?

    识别出威胁后,保护网络会丢弃恶意的机器人流量,同时吸收其余流量。有效的解决方案还将流量路由到可控的分段,以防止在流量异常时发生拒绝服务攻击。

    为什么网络规模在选择缓解提供商时很重要?

    规模更大的网络使提供商可以分析来自全球数百万个网站的数据,以识别不断变化的协议和攻击手段。拥有强大的数据传输容量有助于提供商更有效地响应和阻止攻击,有时甚至在攻击开始之前便能阻止。

    基于云的服务如何处理大规模容量耗尽 DDoS 攻击?

    用于 DDoS 缓解的可扩展云解决方案旨在处理可能超过 2 太比特/秒 (Tbps) 的大型攻击。现场硬件可能会被大型攻击压垮,从而破坏上游基础设施,与此不同的是,基于云的网络足以吸收这些庞大的流量。基于云的 DDoS 缓解还避免了因使用清洗中心而产生的延迟:所有网络流量都必须通过远程数据中心,以便能够清洗恶意流量。

    适应在长期 DDoS 保护中发挥什么作用?

    高质量 DDoS 缓解网络会持续分析流量,以发现攻击模式,例如被滥用的特定协议或重复违规的 IP 块。通过适应这些模式,该服务可以加强自身,以防范未来威胁。

    哪些功能可确保 DDoS 缓解服务的可靠性?

    可靠性是通过高正常运行率、冗余和全球数据中心网络的组合来维持的。此外,让站点可靠性工程师每天 24 小时待命以识别新威胁,对于成功的保护策略至关重要。

入门指南

关于 DDoS 攻击

DDoS 攻击

DDoS 攻击工具

DDoS 词汇

学习中心导航

© 2026 Cloudflare 公司科赋锐 (北京) 信息科技有限公司京ICP备2020045912号隐私政策使用条款报告安全问题信任与安全Cookie 首选项商标