近些年来的DDOS攻击源和攻击方式上有一些流行趋势：

1、反射DdoS攻击被广泛的利用，利用开放在互联网上的一些公共服务或操作系统的特性，攻击者发出的一个小流量数据包通

过反射扩大到几十倍或上百倍。比如1G的流量经过存在漏洞的服务器变成 10G 流量，可以快速堵满一个小机房的出口宽带。

2 嵌入式设备变成攻击源日渐频繁。 随着 IOT 的普及，智能家居，路由器，无线接入点，甚至是城市的公共服务比如全城 Wi-Fi 等。这

些终端成为黑客可攻击的目标。我们甚至观察到，使用手机参与的网络攻击行为。这其中，有些嵌入式设备如路由器作为网络最前端的接入

点，其拥有的带宽和数据包收发处理能力是相当恐怖的。

3、第三种方式就是包机房。 这种方式虽然并不新鲜，属于老生常谈，但很多大流量的攻击如 Syn Flood 一般都是此种类型的环境打出，

由于其来源 IP 伪造，在实际的攻击源追溯方面，也存在一定的难度。DDoS 一般都是蓄意攻击，黑客愿意付出一定的成本包机房是显而易

见的。有时云服务商被攻击，看到攻击来源是世界各地的，其实往往是黑客包的一个机房。

防御吧高防认为有一个重要趋势是所有云服务商都必须注意，那就是自己的服务可能会被黑客作为攻击源打外部用户。云服务商需要对

自己提供的服务提高检测能力，防止自己的机器被黑客利用，同时在攻击发生时，云服务商需要要有一定的预警和压制能力。

目前各家云服务和安全厂商都在推广自己的 高防CDN 服务，高防CDN 在某种程度商可以抗击 DDoS 攻击，以下就让读者了解高防CDN的机制。

一般黑客通过 DDos 攻击云服务商或者云上的某家企业，会主要攻打一个机房或者说某一个节点，让这个节点的带宽全部跑满。这就

像是你的身体有多大，你就能承受多少力量。 如在被攻击时，可以释放更多的 高防CDN 节点给到被攻击方，同时把受到攻击的用户全部

转移到高防机房，在半小时内逐一排查，最后确认被攻击的客户和攻击来源。这就是 高防CDN 防止 DDos 的机制。

多层防御策略的DDoS防御是必不可少的，包括专用的边界解决用户的防御和减轻威胁，从网络的各个方面。这些工具应提供反欺骗，

主机认证，数据层和应用层，和协议验证的阈值，基线实现，空闲检测，和基于访问控制列表的位置的黑白列表。

当考虑到特殊的DDoS解决方案，公司需要确认这些方案不仅可以基于应用层DDoS攻击和非常有效的阻断技术和模式的DDoS检测，常

规攻击或习俗，以“学习”来识别交通数据的基础上，接受和异常交通行为模型。流量分析是关键，以协助快速检测和限制的威胁，同时降低了误报。

为了获得更高效的运作，公司也应该寻求提供先进的虚拟化和基于地理位置的DDoS解决方案。位置技术，另一方面，恶意流量可以使

公司阻止来自未知或可疑的不相关的来源；地址信息流通过切割从公司外部的机构可以加载资源，并减少终端服务器带宽的消耗。

虚拟化策略，管理员可以在一个单一的设备中创建和审查多个独立的策略域，从而防止网络效应中的辐射对其他部分的攻击。防御机制

的本质是预设，而不是投注在一组策略，管理员可以事先定义多个配置，在战略是不够的，更严格的策略的应用。