高性能、低成本的高防 IP 产品能现实吗？

DDoS 攻击是网络攻击最常用的方式之一，也是企业发展道路上的阻碍。作为业务发展的巨大隐形“地雷”，企业想要自建 DDoS 防御的技术门槛很高，且建设周期不可控。这给予了安全厂商海量的市场机会，但是在琳琅满目的产品市场中，厂商需要如何快速占领市场，获得客户？知己知彼的需求理解可以打开行业赛道，非常夯实的产品性能可以让自己在赛道上奔跑起来，而如何在弯道上超车则需要更创新的技术产品，以及顺势而为的洞悉布局。

2018，一起 Memcached 反射放大攻击的流量峰值达到了 1.7Tbps，当时很多安全媒体用了核弹级这个词汇，影响程度已经令人咋舌。然而，今年，DDoS 攻击流量峰值再创新高。

DDoS攻击现状

智能技术开启了人类社会发展的崭新一页，生活方式迎来翻天覆地的便捷革命的同时，网络威胁者也露出了更加猖獗的笑容，典型的趋势之一则是：DDoS 攻击的流量峰值从 G 时代正式跨入了 T 时代。

Neustar 公司安全运营中心(SOC)表示，在今年 2月记录了对 Amazon Web Services 客户端的 2.3Tbps 攻击，这是有记录以来最大的体积 DDoS 攻击，持续了五天零十八小时。该事件宣告着 2Tb 级攻击时代正式来临，巨大的破坏力再一次引起人们的注意。

尽管，Tb 级别的 DDoS 攻击事件比较罕见，但令人担忧的是其他流量级别的 DDoS 攻击已经成为一种“常态”。

今年全球疫情加速了线下业务向线上转移的速度，如大量企业开始探索远程办公，此外，国内也在大力推动新基建，企业的数字化转型正在如火如荼的进行，这让 DDoS 攻击者拥有大量可乘之机。

根据网络安全公司 Neustar 的报告，与去年同期相比，今年上半年分布式拒绝服务(DDoS)攻击的数量增加了 151%。同时，与上年同期相比，今年上半年的攻击总数增加了 2.5 倍以上。其中，100Gbps 以上的攻击数量增长了 275%，而小型攻击(5Gbps及以下)的数量增长了 200% 以上。

此外，值得注意的是，Neustar 还提到，一半以上的缓解威胁利用了三个或更多的媒介，这清楚地表明攻击正在变得越来越复杂。

安全“高压”下的企业生存现状

随着业务的多元以及市场竞争的激烈发展，商业竞争、恶意报复、勒索甚至是发泄不满，都可能成为企业遭受 DDoS 攻击的缘由。有数据统计显示，超过 8 成的企业在近一年内都遭受过 DDoS 攻击，显然，DDoS 攻击已经成了为针对企业的普遍攻击手段。而且，DDoS 的攻击时段多为业务高峰期或在线人数最多时段，以达到最大的破坏效果，这对于追求盈利的企业来说，会造成巨大的品牌影响力损害以及财务损失。

针对这个常见的网络攻击方式，很多企业的应对方式是部署带有抗 D 功能的 WAF 产品。但是，这种捆绑功能，实际上只能针对小流量，或者应用层的攻击，有一定效果。DDoS 攻击流量达到一定的峰值，只靠防护设备是很难挡住，需要选择更专业的抗 D 产品。

借助运营商的能力，进行紧急扩容或开启流量清洗，针对反射放大类攻击,或直接在运营商侧进行过滤,都会提升抗 DDoS 攻击的防御效果。目前市场上专业的抗 D 产品一般可以分成这几类：本地设备清洗、运营商清洗、云清洗和一些新技术在抗 D 中的应用。相比之下，传统安全厂商提供抗D硬件盒子, 如流量清洗设备；云安全厂商所提供的 SaaS 模式部署的抗 D 服务，更容易被接受，且成本及人力投入也更小。

目前，流量清洗市场主要由阿里云等行业巨头占据主导地位，该类厂商的产品性能较强，但价格高昂。这对于一般的中小企业或者一些个人用户来说，有相当大的价格压力。如何兼顾到这群客户的需求？市场上出现了高性价比，实用性能的产品，如又拍云 DDoS 高防 IP 产品。

又拍云高防 IP 产品体验

又拍云 DDoS 高防 IP 是针对容易遭受大流量 DDoS 攻击的电商、金融、游戏等类型的客户专门推出的增值云防护服务。当攻击发⽣时，所有攻击流量将被牵引到⼜拍云分布各地的不同⾼防节点，分布式处理完成后，将正常流量返回最终源站。具体应用流程为：用户可通过配置高防 IP，当其域名或源站 IP 在遭受⼤流量的 DDoS 攻击时，通过⾼防 IP 代理源站 IP ⾯向⽤户，隐藏源站 IP ，将攻击流量牵引到⾼防 IP 进⾏清洗后，把正常访问的流量返回源站，确保源站的安全稳定。

FreeBuf 通过一次实际操作体验了该产品的全流程运用，旨在分析较为真实的用户体验。

在又拍云官网上成功进入控制台总览界面，可以发现，又拍云的产品分为基础产品与增值服务两个板块：基本产品均可免费使用，而增值服务则需要进行付费购买。

其中，需要使用到 SSL 证书服务于 DDoS 高防 IP 两项增值服务。添加完证书之后，进入 DDoS 高防 IP 管理控制台界面。此时可进行选择服务购买，可见的是又拍云提供多种付费模式套餐。

完成购买服务后，列表中即会出现该集群策略，可以在策略中配置白名单，避免误伤友军（此步骤需要联系客服进行协助）。配置完实例之后，即可切换到域名解析列表。

点击右上角的“添加转发规则”则可以定义高防集群转发规则。如果用户需要添加的域名协议为 HTTPS，则需要上传添加证书。

添加完成之后，即可开启对应的 WEB 基础防护。此时高防业务正式上线开始运作。

值得一提的是，后续运营管理者可以在防护报表来对 DDoS 流量与威胁风险事件进行查看。同时，如果有多个集群策略的话，亦可以选择不同的集群实例来查看流量图谱。

事件记录中，风险和威胁都会被实时记录。可以直观地查询和了解具体情况。

高性价比的产品或实现弯道超车

通过对于产品的实操，以及结合相应的官方资料及实验数据，可以将又拍云的高防 IP 产品亮点分析为三个方面：

第一：总体来看，该产品拥有较高的性价比，与大安全厂商昂贵的价格相比，是适合小企业及个人的选择。游戏企业是该类攻击的主要受害者，其中不乏大量的小型企业。一般这类型客户面临的问题包括：预算有限，安全专业人士有限，企业安全配置能力有限。他们对于安全产品的性价比非常看重。

这款产品可以较好地协调上述问题：首先，⾼防 IP 提供在线 SaaS 服务接⼊⽅式，⽤户不需要购买任何硬件设施，可直接使⽤⾼防 IP 服务，⾃助配置管理。据官方给出的数据显示，只要⽹站或应⽤具备正规运营的资质，通过简单的 DNS 操作，在 10min 内即可接⼊防护。而且，通过测评过程可以发现，其控制台⽀持 DDoS 流量数据透明化展示。这对于资源有限的企业来说，这样灵活便捷部署，且可视化的数据呈现方式可以减轻更多的人力资源投入，降低管理运营门槛。

此外，在带宽方面，该产品的上限能力无法与大厂商媲美，但是 50G 的保底带宽可满足一般的中小企业，且其价格相对便宜，用户也可根据⾃身业务需求选择合适防护带宽，节省费⽤。

值得一提的是，云抗 D 产品轻便易用的特点也符合抗 D 产品的发展趋势。又拍云曾获得 2020 数字新基建·年度最佳云服务模式创新奖（中国云体系产业创新战略联盟），这表明其发展空间比较大的同时也拥有相应的基础实力。随着单点防护的逻辑正在向一体化功能迈进，该产品如果集成其他安全防护的功能，对于客户，特别是中小企业来说将更便捷，且有更高的安全系数。

第二，专业防护能力较好。从一次实际的攻击测试记录中可以分析出其防护能力。首先，从流量清洗效率来看，该产品在 15 分钟内可以将异常流量大幅度降低，半小时内完成流量清洗。

在可抵御的最大流量方面，其支持异地多节点多线路防护，单点防御可达 2T，全⽹总防御近 10T。可抵御的流量类型方面，其⽀持 BGP 、电信、联通、移动等多类线路，可以有效防御 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻击等。

市场上很多抗 D 产品面临产品能力问题，特别是针对 CC 攻击，产品防御效果不明显，以及攻击可视化、溯源等能力不足的问题。相比之下，又拍云的产品在防护能力和产品端方面都有不错的一面。

第三，该产品延展性较强，⽀持 TCP、UDP、HTTP、HTTPS 等协议，针对不同场景、不同类型的攻击均可防御，满⾜电商、⾦融、游戏等各种类型的业务需求。这对于涉及多领域业务的企业来说是一个有利的消息，可以避免多个产品部署的繁琐。