​​图6 云抗DDOS攻击应用方案

（1）首先需要购买高防IP服务，根据需要选择，建议选择BGP高防。高防IP服务一般有保底防护带宽和弹性防护带宽，弹性防护带宽需要根据实际防护量单独再收费。

（2）配置DDOS防护策略，需要将域名、回源配置设置好，如果是CC攻击防护，还需要将HTTPS证书导入到抗DDOS防护中心。

（3）验证配置是否正确，可以修改本地电脑的hosts文件，改到高防IP上，然后通过域名访问，看是否已生效。

（4）实际使用时，将DNS切换到云抗DDOS中心，一般通过修改CNAME或A记录即可。

（1）在实际应用过程中，建议将抗DDOS的源站线路和日常源站线路分开，且抗DDOS攻击的源站IP没有被暴露过。因为一般发生攻击时，源站线路的IP可能被ISP黑洞，短时间内无法使用；另外如果更换一个同一个网段的IP作为新的源站IP，很容易被黑客猜到。

（2）主站IP要和其他服务站点的IP分开，因为主站IP经常可能遭受攻击，这样可以降低攻击的影响面。

（3）需要放行云DDOS防护中心的网段，避免被防火墙、IPS、WAF等设备阻断（因为同IP的请求频率会变高）。另外需要考虑透传真实用户请求IP，用于进行统计分析等应用。

（4）需要考虑服务延时，需要考虑云抗DDOS中心机房和源站的地理位置，如果离得太远，很有可能会增加访问延时。

（5）一般不建议将流量一直切换到抗DDOS中心，只有遭受攻击时再切换。或者当有重要活动时，可以事先切换上去，避免遭受攻击时DNS切换的时间，影响重要业务活动。

（6）对于CC攻击，第一优先防护方案是WAF，如果实在不行，再切换到抗DDOS中心。

​1．背景

某公司，主机房服务器托管在数据中心，灾备机房在云上。主要应用为网站和APP，经常遭受DDOS攻击，影响业务开展。

• 采购某云DDOS厂商服务，10G BGP 弹性防护扩展。
• 使用专用线路用于抗DDOS回源。
• 攻击时通过DNS切换将流量切到高防IP上，营销活动开展时，事先将流量切到高防上。
• HTTPS证书配置到DDOS设备上。
• 流量型攻击防护效果比较理想，CC攻击防护效果也不错（需要和厂商配合进行策略优化）。

​​看到这里的大佬，动动发财的小手 点赞 回复 收藏，能【 关注 】一波就更好了

我是一名渗透测试工程师，为了感谢读者们，我想把我收藏的一些网络安全/渗透测试学习干货贡献给大家，回馈每一个读者，希望能帮到你们。

干货主要有：

①2000多本网安必看电子书（主流和经典的书籍应该都有了）

②PHP标准库资料（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ 网络安全基础入门、Linux运维，web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ 渗透测试工具大全

⑦ 2021网络安全/Web安全/渗透测试工程师面试手册大全

各位朋友们可以关注 评论一波 然后私信【资料】即可获取领取方式