DDoS防御的核心：流量清洗 (Traffic Scrubbing)

流量清洗是DDoS防御体系中最关键的环节。其核心思想是将混杂了恶意攻击流量和正常业务流量的混合流，牵引至专门的清洗设备或清洗中心进行过滤，剔除攻击流量，仅将正常的业务流量回注（Reinjection）到目标网络或服务器。

清洗流程

1. 流量牵引（Traffic Diversion）：通过BGP路由通告或DNS解析，将原本流向目标IP的流量引导至清洗中心。
2. 流量检测（Traffic Detection）：清洗设备利用深度包检测（DPI）、行为分析、指纹识别等技术，实时分析流量特征，区分出攻击流量（如SYN Flood、UDP Flood、CC攻击）。
3. 流量过滤（Traffic Filtering）：根据检测结果，应用相应的过滤策略。例如丢弃畸形包、限制连接速率、验证源IP合法性等。
4. 流量回注（Reinjection）：将被清洗后的干净流量通过GRE隧道、MPLS VPN或专线等方式回送到源站网络，确保业务正常运行。

流量压制 (Traffic Suppression)

当攻击流量极大，超过了清洗中心的处理能力或链路带宽上限时，为了保护骨干网络不被拥塞，不得不采取更为激进的手段——流量压制。

• 黑洞路由（Blackholing）：这是最极端的压制手段。运营商或ISP将指向受攻击IP的所有流量（无论好坏）全部丢弃，相当于将受害者从网络上“隔离”开来，以此保护其他网络用户的正常使用。虽然目标服务会中断，但能避免整个网络瘫痪。
• 限速（Rate Limiting）：在网络边缘路由器上，对特定协议（如ICMP、UDP）或特定IP的流量进行严格的速率限制。超过阈值的流量将被直接丢弃。

云端防御与本地防御结合

面对日益复杂的DDoS攻击，单一的防御手段往往力不从心。构建“云+端”的混合防御体系已成为主流趋势。

1. 本地防御（On-Premises / CPE）

部署在企业数据中心出口的抗DDoS设备。

• 优势：响应速度快（微秒级），对应用层攻击（CC、慢速攻击）防护效果好，可定制化策略强。
• 局限：受限于企业出口带宽。一旦攻击流量超过带宽上限（如100Gbps），链路拥塞，本地设备再强大也无能为力。

2. 云端防御（Cloud Scrubbing）

利用云服务商庞大的带宽资源和分布式的清洗中心。

• 优势：抗D带宽巨大（Tbps级），可轻松应对大规模流量型攻击。
• 局限：流量牵引需要一定时间（秒级或分钟级），可能存在少量业务中断；对应用层的精准防护有时不如本地设备灵活。

3. 混合防御架构（Hybrid Defense）

结合两者优势：平时利用本地设备进行实时监控和小流量清洗，保障低延迟和业务连续性；一旦检测到大规模流量攻击超过本地阈值，自动触发信号通知云端清洗中心，将流量牵引至云端进行大规模清洗。这种“常态本地清洗，战时云端压制”的策略，兼顾了性能与防护能力。

总结

DDoS防御是一场不对称的战争。防御方需要构建多层次、智能化的防御体系，从运营商骨干网、云清洗中心到企业本地边缘，层层设防，才能有效抵御各种规模和类型的DDoS攻击。