【安全狗SRC】抗D設備哪家強？你來！大佬告訴你答案

上週，安全狗SRC聯合SRC部落，攜手推出了爆款話題： 傳統抗D設備 vs 新興CDN抗D：抗D效果哪一個好？ 一經發布簡直好評如潮，熱評無數，四方雷動（？） 原帖在此，錯過的吃瓜表哥們能夠再圍觀一下~ https://bbs.ichunqiu.com/thread-21821-1-1.html 懶癌晚期的表哥若是不想一一瀏覽，小編特別彙總了一下諸位大佬的優質回覆， 而且邀請了xiaoye大佬對下面的彙總作了一下獨具匠心（？）的技術點評。 表哥們快來圍觀一下這些技術含量多汁到滴水的精彩發言，順便提高一下對DDoS的總體認知吧！ 帳號153XXX39703的大佬，從安全狗用戶的角度解讀了ddos。這位大佬最近遇到了「經過千萬臺肉雞同時對目標進行訪問形成目標帶寬瞬間跑滿宕機，直接影響公司業務「的問題，而且總結了防護ddos的方式： 防DDOS無非如下幾種辦法：      1. 增長帶寬硬抗      2. 接入第三方高防/流量清洗      3. 下線服務,     第一種增長帶寬硬抗對於大流量的攻擊來講這種方法並不可取，緣由麼一是太燒錢啦,若是服務器性能不行帶寬還沒加服務器就能夠掛了。再來看第二種也是如今比較多的方法，接入第三方高防或者流量清洗系統，以國內雲廠商爲例，先說下阿里雲默認抗5G，有錢的話能夠繼續加，對小打小鬧的攻擊者來講能夠防了，若是是針對性的仍是建議接入流量清洗，高防的價錢實在太貴不建議每月購買，若是長期受DDOS困擾能夠考慮市面上的幾家流量清洗，仍是推薦你們用比較知名的廠商好比騰訊的大禹，藍訊（價格比較貴）。不是很建議小廠商的雖然價格比較便宜，可是也據說過中止續費後惡意攻擊的事件，少一點套路多一點真誠。。。第三種方法能夠對非重要業務執行，因業務而異。     若是什麼都沒接入的狀況下受到了攻擊，這裏簡單的講述一下措施（以雲主機爲列）。     短信收到攻擊報警，提示流量超過防護範圍。     收到這種短信是人看了都會一抖，特別是業務高峯的時候。雲主機廠商爲了保護自家的其餘用戶超過閾值會直接切斷你的ip,此時頁面就會一片白。     緊急操做，通知相關負責人，替換新IP。     購買新的IP，而後在域名廠商處馬上替換，等待生效，查看生效通常用到如下命令,ping,dig     ping就很少說了,綁定好之後開一個終端ping着就能夠了,     dig命令能夠查看新的域名ip有沒有生效，碰到業務有CDN的能夠看是否回源完成（通常5-15分鐘）。 這裏要講下爲什麼用了CDN仍是被打到了源站IP，仍是那句話攻擊前的踩點很重要，經過ping,站長之家等各類手段能夠查看到被攻擊的站是否用了CDN甚至是哪一家CDN 。經過嘗試ping一級域名泛解析嘗試是否能夠ping通，經過github上尋找是否有源站IP記錄等等，只要有配置不當的地方找到源站IP仍是很簡單的，對於大流量的攻擊拒絕服務也就是秒秒鐘的事了。 總結的都是企業常見的一些防護手段，很不錯哦~ 而下一位，xiaoye大佬也小試牛刀，分享了一波經驗： ddos是分佈式拒絕服務攻擊，單純的dos攻擊其實很容易防範，通常作的規則是對ip的頻率數據包量等進行控制，這個在waf或者iptables裏都是常見的規則，很容易防範：掃帶waf的網站是常常被「拉黑」就是對ip的頻率作出的限制；p.s:iptables絕對是異常強大的訪問控制工具，用好了事半功倍，甚至堪比硬件防火牆（這句話不是我說的。。不知道真假欸） 咱們假象，若是咱們有不少代理ip，而後在掃描的過程當中不停切換ip，這樣是否是就繞過了頻率的限制了呢，對，就是這樣： 單純的掃描能夠比做dos攻擊，而切換代理ip就能夠比做ddos，「分佈式」拒絕服務攻擊，由於他擁有多個看似正常的ip來進行看似正常的操做，然而，當許多個ip，或者說成千上萬的主機，一塊兒對目標進行攻擊，也將會形成巨大的傷害 分佈式拒絕服務攻擊之因此難以防範，是由於攻擊來自於大量的看似正常訪問的非正常主機，可是對於服務器而言，每一臺發包的主機都是一個合法的用戶，由於web server就是用來給人訪問的，從這個層面上講，每個"攻擊者"彷佛都是合法的！完全根治ddos，勢必會影響到正常訪問的用戶，而這是站長或者廠商最不肯意看到的：沒有用戶pv，網站靠什麼運營？另外網上那些誤封率0的宣傳，我是不信的。。 對ddos的防範一直是塊短板，有錢的去流量清洗，沒錢有底子的本身去作反向代理加負載均衡，也能抗一波流量，waf之類的防禦軟件也已經具有了基本的防禦功能 ddos有不少種類，smurf 、tcp syn flood、udp flood、icmp flood等等等等，創建全面且準確的防護規則，是waf廠商的一大任務以及機遇 如今時代不一樣了，cdn的出現無疑是一大福音，不容易直接獲取真實ip，多節點也能夠抵禦ddos。（其實也用到了負載均衡，固然還有緩存之類，將用戶的請求定向到最合適的緩存服務器節點上去獲取內容） 防護ddos，大廠商想要安全性能夠去流量清洗，而一些小廠商，或者我的blog的站長，這個方式顯然太燒錢了，開始也不能一直被d不是；有底子的站長能夠去作反向代理加負載均衡，抗一小波流量是不成問題的，cdn也是用到了負載均衡技術哦~ 元霸大佬的觀點是「新興和傳統的手段，硬件設備都同樣，無非是在硬件資源，寬帶資源進行流量進口量的放大。 」 而且提出了方案： 有我的曾經寫過一篇《十全大補帖，抗DDoS究竟哪家強？》 可是又沒有那家來具體說明  能徹底防護DDos 攻擊 有過一篇報道是這樣說的 雲堤抗D方案什麼樣？ 　　先講三個核心觀點>> 　　第一個觀點：抗D服務是一種緩解方案，而不是一種治癒方案，它能夠緩解DDoS對業務的影響，而不是完全根除DDoS攻擊，Mitigation not Clean。 　　第二個觀點：沒有哪種抗D服務是包打全能的，須要根據實際狀況靈活應對，必要時採起多種組合，任何宣稱完美抗D解決方案的都是耍流氓。 第三個觀點：即使全部組合方案全上，抗D服務也不可能徹底實現自動化，有必要的人工干預、定製策略才能更好實現抗D效果，尤爲是混合型攻擊、應用層攻擊。 是啊，抗D服務是一種緩解方案，而不是一種治癒方案。 可是 如帖子 三樓所說，如今預防dos的基本方法 1負載均衡 2多節點防火牆 3充足的帶寬 4多節點服務器 5過濾沒必要要的服務和端口  6合理優化系統，避免系統資源的浪費 7檢查訪問來源並作適當的限制 8限制特定的流量 也或者向一樓所說 企業應該採用以下判斷點，不要浪費大量的資源 1.判斷機制 2.控制機制 3.止損機制 4.創建新型企業級運維雲平臺，部署多節點，服務開集羣，同時關閉沒必要要的端口，嚴格檢測如80這些端口。避免出現阻塞狀況。 5.提高帶寬，限制部分無用的服務，資源耗盡無解。儘可能保存數據，準備重啓吧。。。 觀點和防護ddos的基本方法說的都很不錯，針對企業也提出了一些方案。 yangwen表哥則是就硬件防火牆和cdn都發表了觀點： 我去年在的一家公司曾經一段時間收到過100~200G的ddos攻擊還有數不勝數次的CC攻擊！ 1.硬件防火牆   服務器你們都買過吧，買的時候都會看到商家說什麼200G硬防，300G硬防。   那這個意思就明顯了，我告訴你了你買我這個機子我只能幫你扛200G300G的量，那若是攻擊者400G扔過來，你說你死不死？    防火牆防護工做原理我分析不出來，不過你們都知道正經常使用戶訪問確定是TCP/IP有三次握手包，DDOS通常是發出兩次握手包，而後服務器就在等客戶機的第三次握手，等啊等卻一直沒等來， 而後愈來愈多的tcpip握手包，都只有前兩次，服務器就在等愈來愈多的第三次握手包。雖說防火牆原本就具有這個分辨的能力，可是仍是同樣！超過你防火牆能防的量你就得死！ 2.CDN    CDN就要比硬件防火牆理智的多，其優勢是：    （1）用戶根本獲取不到你真實的IP    （2）以TX的爲例，一百個域名，200個節點。隨機分配。 假如200G的硬件防火牆在知道你真實IP後直接300G量打過來，你確定要死的把。 那若是換成CDN，我兩百個節點，假如每一個節點能防30G，200*30就是600G，你來打我呀！笨蛋！那CDN會死嗎？固然會！假如說你有十個節點，我所有獲取到以後全給你打死！CDN能夠說是網站和用戶之間的中轉站，因此你的網站也跟隨着一塊兒死去了！可是其代價也是至關大，得多少許才能打動數十個甚至上百個節點？ 硬件防火牆 VS CDN 我感受CDN比較好。不過呢，硬件防火牆的機子相對來講便宜一點，CDN就很貴了。 TX的CDN我以前但是領教過，100個域名，兩百個IP。當時是由於硬件防火牆防不住了，我選擇了TX的CDN而且是流量計算模式！！！！ 記得當時天天流量1T多！一個月下來大概1萬8左右！ 高防硬件防火牆也是有限制的，不可能扛下無限流量；cdn更加理智，多節點能夠分擔攻擊流量，並且負載均衡也有神奇的效果，固然想用高質量的cdn，money確定是要掏的~ 能夠看到很多大佬也是在工做中遇到了ddos和cc攻擊（ddos在實際中發生的很頻繁啊~） 遭遇到ddos攻擊後，廠商或者站長毫不應該採起容忍的態度，要積極的去防護，必要時候要採起法律手段。 降龍大佬也是遇到過ddos，他認爲被動的防護不是解決辦法，而且呼籲相關部門對此採起措施。行政和法律方面咱們很少談，咱們目前能作的就是創建本身的防護機制： 一些主機商遭遇ddos攻擊大可能是選擇忍到攻擊中止，不只可能會對在他們服務器上搭建的網站或者一些服務器進行的工做形成極大的影響，間接的形成經濟損失，甚至會流失大量的客源，危害極大。 以前本身也開過一些小網站，而後實在作不下去了，由於總有一些人掌握着大量僵屍網絡資源，他們對ddos樂此不疲，而且有相關的不菲的經濟收入，目標也老是web服務開放的端口。他們對於ddos的見解就是:只要量夠大，沒有打不死的目標(ಠ .̫.̫ ಠ) 前兩天聽說百度還被弄死了幾十分鐘，因此我對被動的防護持很大的見解。 因此糾結起ddos的源頭，仍是要呼籲相關部門對那些基於ddos以及僵屍網絡集羣的黑色產業鏈給予高壓態度，而且在防範方面還要作及時的網絡攻擊預警，全網流量攻防態勢，例如一些高危漏洞可能形成的僵屍網絡及時的預警並更全面更深刻的評估其安全風險，其餘的緣由也沒有人或者相關法律能夠進行限制。 咱們能夠作的有，對一些攻擊者試探性的攻擊作出及時的反應，其餘防範方法     通常是禁ip，禁網段，作均衡負載服務，優化資源使用提升 web server 的負載能力，及時修復可能存在的安全漏洞，及時更新相關服務，使用硬件防火牆，增大網絡帶寬，砸錢。或者使用使用其餘網絡公司提供的高性能的基礎物理網絡服務（昂貴）等等。 但仍是引用某某大D闊的一句話:只要量夠大，沒有打不死… 咱們只有盡力去與ddos作鬥爭，儘可能減小或者避免相關的損失，防患於未然 wuli zusheng表哥也發表了精闢觀點： 常規硬件防火牆通常來講對於抗DDOS的做用不是太大，由於常規防火牆主要是依靠控制經過防火牆的IP地址和端口進行防禦的。而DDOS每每是大量IP同時併發進攻防火牆。若是攻擊者選擇80端口做爲攻擊端口的話，因爲網站自身服務必需要防火牆放行80端口，所以對此攻擊方式是沒有太好辦法。另外DDOS攻擊的方式有兩種，一種是大量的數據包阻塞網絡帶寬，這個須要使用負載均衡設備進行分流與流量清洗；另外一種是大量的半開鏈接請求耗盡服務器資源池，這個就須要加大服務器硬件配置，縮短鏈接超時時間，創建服務器分佈式集羣等方式來進行對抗了。CDN有流量清洗就不用本身。 抄心了，反正給錢就是了。 簡單粗暴的解決方式：砸錢。。哈哈，固然表哥也提到了我的能夠作的一些防護措施，如負載均衡、創建集羣等等 屌絲紳士表哥更是接連兩次發表了觀點： 回覆1： 我的認爲還算過得去的硬件防火牆沒幾個，不細說  方法嘛 就這些 1負載均衡 2多節點防火牆 3充足的帶寬 4多節點服務器 5過濾沒必要要的服務和端口  6合理優化系統，避免系統資源的浪費 7檢查訪問來源並作適當的限制 8限制特定的流量 回覆2： 太詳細的懶得寫，不過 我的認爲抗D 大同小異，若是換個想法，按照老總的想法老說呢，，固然是那個便宜  那個牛逼用那個，，翻譯過來就是，空手套白狼的思想，而後我就呵呵了， 一方面 企業的發展和業務的擴張必定會愈來愈龐大，在原有的基礎上不想增長設備，但又不想揹負漏洞，顯然這是不可能的，借用我大大的說法就是 卡節點，層層防護的辦法，既然硬件須要錢，那我就用寫死的軟件去彌補， 另外一方面，換個思路，學學迅雷的下載寶，把一些路由器或者經常使用的終端中存放一些常規數據，這些設備在日常訪問的時候，出站本地對素材進行效驗，而後上傳節點，轉發到客戶端，這個思想比較相似分佈式運算 第二個內容針對企業防護ddos提供了很好的思路：「分佈式」，分佈式的dos攻擊，用分佈式的思想去防護（cdn的多節點和這個有點相似） 賣假藥的大橙子表哥觀點以下 ： A10 Network*（666）.目前爲止沒有比較厲害的辦法。不管是傳統仍是新型技術。都處於相對比較被動的位置。技術永遠受限於攻擊方。上海雲盾出的太極。目前沒有很徹底的數據公佈。不清楚新一代的對抗狀況。對抗死循環在於，D法自己是佔用用戶的正常區域資源所致使的技術方向，企業和用戶也沒法放棄這一塊的資源利用。問題就在 1.判斷機制 2.控制機制 3.止損機制 目前新興和傳統進度都同樣。由於通常對抗的關鍵點都在於不可規避的點，也就沒有更好的辦法。縮短鏈接延時時間，創建新型運維機制，改善服務器的配置，同時須要嚴格控制損失狀況，控制清洗流量監測流量。 1.創建新型企業級運維雲平臺，部署多節點，服務開集羣，同時關閉沒必要要的端口，嚴格檢測如80這些端口。避免出現阻塞狀況。 2.提高帶寬，限制部分無用的服務，資源耗盡無解。儘可能保存數據，準備重啓吧。。。 3.找個大牛多一點的防火牆合做夥伴吧，或者對本身的運維人員好一點吧。。這樣還能過後多挽回一些損失。 4.新興和傳統感受區別不大，都處於被動狀態，也沒有更好的解決辦法。 傳統和新型技術目前還都是較爲被動的狀態，這是實話，因此目前的機制依舊不是很完善：只要肉雞多流量夠多，理論上能夠打死任何站。。 fs冷逸表哥從主動防護的角度出發談了本身的見解： 分佈式拒絕服務（Distributed Denial of service）簡稱DDOS，不少DOS攻擊源一塊兒攻擊某臺服務器就組成了DDOS攻擊，攻擊指藉助於客戶/服務器技術，將多個計算機聯合起來做爲攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提升拒絕服務攻擊的威力。一般，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通信，代理程序已經被安裝在Internet上的許多計算機上，代理程序收到指令時就發動攻擊。    現在任然沒有什麼能夠阻擋DDOS的工具，各類穿盾，過牆工具層出不窮，網站 服務器安全仍然爲一大問題僅僅依靠某種系統或產品防住 DDOS 是不現實的， 能夠確定的是， 徹底杜絕 DDOS是不可能的，但經過適當的措施抵禦 90%的 DDOS 攻擊是能夠作到的，基於攻擊和防護都有成本開銷的緣故，若經過適當的辦法加強了抵禦 DDOS 的能力，也就意味着加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將沒法繼續下去而放棄，也就至關於成功的抵禦了DDOS 攻擊。 雖然沒法完全防護ddos，可是站長/廠商的主動防護將大大提高攻擊的成本，對ddos也將起到必定的做用。 zooujun 如是說： 看到有活動，很是高興能夠參加。我的的小白一枚，技術很菜。可是看到這個話題，結合本身的經驗，簡單的說一說。傳統抗D設備 vs 新興CDN抗D：抗D效果哪一個好？ 首先對比一下，傳統的抗D設備，比較有名氣的就是綠盟的黑洞，聽名字感受能夠吞噬一切ddos，可是貌似cc就是針對它來的，誰叫你樹大招風呢。各個傳統安全廠商，通常都有抗D的設備，或者是在utm、下一代防火牆的功能裏面，可是效果就不一了。因爲硬件設備的硬件架構和接口帶寬有限，用戶不多去購買。不少用戶以爲，本身的單位沒有必要上抗D的硬件，這個確實是這樣的，若是真的有黑客要ddos你，那通常的設備也抗不住的。 相比新興的抗D廠家，你們都是經過無數的設備堆疊出來的，無數的節點連接在一塊兒，抗D效果可見一斑。可是每一個新興的抗D廠家的投入、技術能力的不一樣，抗D效果確定也不同，他們的收費固然也不一樣。 可能有些用戶試用了新興抗D的產品，可是仍是被打癱了。天然對新興抗D沒有信心。事實上，新興的抗D廠家仍是頗有能力的，好比阿里的阿里盾，知道創宇的創宇盾，webray的玄武盾，都是很是好的。每一個廠家的抗D效果，要看客戶肯投入的成本以及 黑客攻擊的手段。 我相信，將來大中型企業，以及小型企業都會上線新興抗D產品的，由於價格優惠，效果明顯。 也但願黑產能快點消失，讓廣大網友和企業，不受損失。 表哥分析了新興的抗d設備和手段，他認爲抗d廠家將會愈來愈多、愈來愈專業。   細心大佬有兩次回覆，由於太長啦，摘選其中精華的一段，完整版能夠詳見原帖： 回到正題：至於DDOS 咱們應該從實際出發，針對咱們的客戶作成比較合理的方案，方案是什麼？個人理解就是money，由於根據實際環境咱們要去判斷咱們or那些人針對咱們的客戶（或者客戶其餘）咱們還要判斷客戶的money他能夠作多大的 安全防禦，或者他對於假如遭到DDOS的損失，or以及遭到DDOS攻擊時候，咱們要有想要的預案，或者說告訴客戶如何去處理。快速的解決。保證咱們正常的業務範圍不受到不法侵害。 基於解決方案：個人理解是要創新，要有核心思想。核心技術。 由於互聯網，每一秒都在變，這一秒和下一秒，都是未知的。。。。。。。 就如vulnerable 老是那麼的層出不窮，Windows不是還說出過一個最安全的系統嗎？結果那。。。我不懂。 基於DDOS或者互聯網安全;咱們只能說在「攻與防中對立」在攻防轉換中，能夠快速響應，拿出解決方案，在進步中「矗立不倒」 最後說個你們都知道的寓言故事：矛與盾！哈哈哈 誰好，你們好，纔是真的好。 以及： 在合理的money下給出最優的解決方案保證咱們客戶的利益，是最好的結果，也是咱們品牌價值最高的體現！ 個人方案是：人工智能+雲大數據+規則+過濾防護等級（響應等級）+調查取證+反擊（由於防護只是被動的捱打） 最後的方案給的很好，必要時候咱們的確須要取證，藉助法律的力量來進行反擊，維護本身的合法權益。 infosafe表哥總結了不少 實用的抗d措施： 國內各類盾很多,抗ddos能力也是相差不大,隨拉幾條 1.國產防火牆大可能是UNIX\LINUX+iptable等包過濾型防火牆修改成主,由於上升到應用層,抗ddos能力較弱. 2.抗d功能要下放到網絡層,即network框架內實現,經過hook掛入抗擊模塊. 3.利用syncookie+sysproxy實現基本的抗擊. 4.找到關鍵的時間間隔值，多1ms則多，少1ms則少，可實現握手協議的有效識別，偏門。 五、對proxy的攻擊，除了標記識別外，還有約1/4來沒法有效過濾，這也是爲何cc如今還有效果的緣由。 六、應用層的防禦，仍是指紋鑑別爲主，可是要消耗cpu。 七、綠x確實在架構上可圈可點，但其流量牽引的機制存在bug，能夠突破形成調度設備異常。 八、抗擊的思路仍是鑑別+大量清洗。 九、香港的機房能實現簡單的溯源，不簡單。 十、國內運營商大多開啓僞造路由識別，從idc機房發起的見少了。可是又在搞提速，肉雞的能力愈來愈強了。 抗擊趨勢，識別（行爲+指紋）+CDN清洗，老式清洗平臺會逐漸退出舞臺。 除了抗d措施，表哥也提到了之後抗d的趨勢：識別+cdn清洗（其實，識別是更難實現的，誤判、漏判都將形成必定的後果）。 mycookie表哥再次提到了cdn ： 安全狗很好。 都是說的從外到內抗，然額 如今的劇情是 不少企業都遭受從內部ddos 的劇情 內網被滲透感染，從內網dos攻擊內網的出口設備等，好比 帶寬管理設備等，比較容易弄癱整個網絡出口。 從外到內dos ，對於依賴出口的企業該上的就得上 第一關 硬件負載均衡f5或者redware 第二關先硬件防火牆   第三關 抗ddos設備 第四關  ips 第五關 waf 第6關 服務器 軟負載均衡  另外須要買第三方的 流量清洗服務，應爲你再牛逼，帶寬也是有限的，大量的流量仍是靠idc 這樣的機構去解決。 cdn 是不可缺乏的。 固然以上 都是錢堆出來的，看網絡規模 。 有興趣的小夥伴能夠去深刻了解一下cdn的思想，很是有意思~ 1012699799大佬提出了很不錯的觀點： DOS和DDOS是什麼？不想說，大家本身知道就好，不知道問百度去 DDOS攻擊模式不外乎發送請求包，TCP三次握手，就跟你握手兩次後。。。。。你等着我，我必定會回來的。 說明了你知道這是DOS攻擊，不告訴你這是攻擊，那麼服務器怎麼甄別？同一IP屢次玩這套？不一樣IP也玩這一套？iptables限制鏈接數？封IP？封區域？不不，我跟你講，你要這麼玩，你會被踢的你知道不？pv沒了？校園網你知道怎麼回事嗎？人多網絡還不穩定。。。用網高峯三次握手，能跟你握一次那就老牛逼了。 我之前幹小網管工做中碰上過DOS攻擊，當時很興奮，我***這麼多訪問，要發啊，幹兩年老闆賞識我，我慢慢的會當上CEO贏取白富美，走上人生巔峯。。。 當時又搭建負載均衡，買帶寬，流量不是很大，通過一番折騰挺住了，然而個人人生巔峯並無到來，我被人玩了，心情很失落，才知道遇見DOS攻擊了。過了一週到彙報的時候，老闆不懂網絡，一聽被人攻擊，立馬開大會找解決辦法。花高薪請來一大神，據說薪資很高能在北京買房子的那種，之前是作物理防火牆的。來了之後開始大肆整改，通宵達旦寫規則，很屌。應用後咱們的平常PV從幾十萬瞬間下降到了幾千上萬。。。。。歷來沒有被攻破過，很穩定。實習期過了，我就走了，如今想一想也挺可惜的，當時要是找的明白人，如今全國最大的二手車交易網站就不是如今這家了。 跑題了，回到正題，那麼抗D設備哪家強？ 大禹治水知道不？黃河決堤知道不？ 堵不如疏 堵不如疏，這位大佬應該是認爲被動防護，不如主動疏導，將流量分流下降壓力，很不錯的思想~ 總結： 防護ddos，須要整個行業的支持，這項事業既不可能一蹴而就，也不可能單獨一家企業或者我的力挽狂瀾。 防護ddos的路還有很遠，可是路雖遠，行必達，願熱愛it行業的每一個人、每家企業都能爲ddos防護體系的建設貢獻一份力量！ 再次感謝友情支持的xiaoye大佬~ 歡迎你們在下方留言