DDoS攻击愈演愈烈，攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品，才能避免无谓的设备采购，最终选择适合自己的产品，达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区，以及相应的注意事项。

 

DDoS流量清洗解决方案选择七大误区

 

　　误区一：选择防火墙或入侵检测IPS来清洗DDoS

　　分析：防火墙与入侵检测IPS通常串行部署在网络下游的网关位置，是基于状态检测的访问控制系统，本身就是DDoS的攻击目标，在新建连接与状态连接耗尽时成为瓶颈。

　　DDoS最佳防护实践就是：流量清洗中心加上运营商BGP路由调度控制;

　　误区二：选择清洗设备的性能远高于自己的出口带宽

　　分析：有些客户网络出口带宽只有100M，厂商却推荐选择1G甚至4G清洗设备。

　　标准的云清洗说法是本地清洗应用型DDoS攻击，云端清洗流量型DDoS攻击。

　　误区三：选择清洗系统时只看设备硬件指标，忽视厂家攻击清洗技术专业能力

　　分析：厂家缺乏有经验和技能的清洗专家，不具备与上游运营商实时沟通，快速检测攻击与攻击应急灾备能力。客户只是买到一个硬件盒子，平时没人看，急用现调试。

　　DDoS清洗的最佳实践理念是“三分产品技术，七分设计服务”。

　　误区四：选择清洗设备时只看端口吞吐量性能，忽视小包处理能力与正则匹配下的处理性能。

　　分析：清洗设备标称的处理性能指标通常是实验室测试标准，在现网实际小包攻击与正则匹配下性能剧降，10G性能指标的清洗设备现网小包清洗能力不过4G左右。

　　误区五：选择清洗系统只看硬件清洗异常流量性能，忽视清洗后正常业务流量的通过性能。

　　分析：清洗设备没有可预期的正常流量通过能力，当清洗DDoS系统的硬件资源被异常流量占用时，正常流量通过能力剧降，系统无法预设与分配处理异常流量与正常流量的硬件资源配置。

　　误区六：选择DDoS云清洗服务同时希望提供加速等一揽子其他功能。

　　分析：应用加速与流量清洗在同一个数据中心出口下处理时相互干扰。在他人被攻击时，自己易受影响。

　　应用加速与流量清洗在小规模攻击的情况下同时提供比较现实。

误区七：选择云清洗服务商的清洗位置过于靠近下游，且不具备BGP路由调度控制能力。

 

　　分析：大规模DDoS攻击发生时，整个网络上下游均出现故障，客户最大的问题是不知道电话打给谁去解决。

　　云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力，才能带给客户网络服务可用性一片合泰云天。