DDoS攻击是一个不断出现的问题，企业应该考虑使用云DDoS防护服务。本文，专家Frank Siemons对有哪些云DDoS可供我们选择进行了探讨。

分布式拒绝服务攻击的指数级增长（现在要比10年前多达50倍）让许多组织担心自己会成为下一个目标。对于大多数这些组织来说成为分布式拒绝服务或者DDos攻击的受害者只是迟早的事而已，当轮到他们时，组织是否已经准备好，以及他们实际上可以准备到何种程度？

2016年BBC网站遭受DDoS攻击达到了每秒602千兆位（Gbps）的峰值，成为历史上最大的一次DDoS攻击。一次精心组织的有针对性的DDoS攻击可以轻松地在受害目标上发动100 Gbps持续的流量。即便组织的平均连接带宽是以几乎相同的速度增长，这些攻击的复杂性和特定目标性意味着攻击正在不断的变得更加难以处理。企业需要在专属硬件，软件和专业技能上投入大量资源，或将这些DDoS防护服务外包给第三方。因为第三方可以将其大容量的基础设施成本分摊给许多不太可能在同一时间受到攻击的其他客户，这对于小型，中型甚至一些大型企业而言，通常是一个最可行的选项。

云DDoS保护服务附加组件

公有云服务提供商（CSP），如亚马逊网络服务、微软Azure和Rackspace被认为最适合应对这种日益增长的需求。他们正在与云DDoS防护提供商（例如Cloudflare）竞争，但却拥有一个最重要的优势：就是客户已经在一个或多个产品（如IaaS或SaaS）上达成协议。这意味着DDoS保护服务只是对现有合同的更多附加。大部分的技术，例如流量路由，都可以由公有云服务提供商负责，而不需要另一方的介入。

在某些情况下，云服务提供商可能选择将DDoS防护服务外包给专门的提供商，如Cloudflare或Imperva。即使是这样，公有云客户仍然没有什么可以担心的。

云DDoS防护的潜在好处

除了易于限制服务提供商的数量之外，使用云DDoS防护的一个好处是CSP了解他们的网络，间接的监控网络以发现潜在的DDoS攻击，并对各种可用的缓解措施有更多的自主权。在一个持续很多天，数周甚至数月攻击的情况下，还可以使用诸如快速重定位到另一个虚拟网络或另一个真实的数据中心这样的选项。

另一个组织应该考虑的重要因素是谁来支付由于DDoS攻击导致的数据量剧增的帐单。这个问题更复杂。尽管许多CSP允许对DDoS攻击的情况下所产生的意外的高费用不计入帐单，但这在该CSP负责处理DDoS攻击及其潜在的缓解时更容易管理和证明。这就要求客户对供应商做进一步的研究。例如，一些CSP对流入的流量不收费，这是一个重要的考量因素。

云DDoS防护的可用选项

这种平台范围内的保护不包括个人客户及其客户自己特定的配置，需求和优先级。客户需要进一步的处理类似基于应用程序的DDoS攻击，这些攻击的防护更加定制化和更针对客户的公共托管服务。想象一个低到中等带宽的专门针对一个使用HTTP协议的客户网站的DDoS攻击。如果不了解网站的细节，CSP可能不会注意到攻击。CSP安全团队在没有对该服务有深入了解的前提下，如何知道这是一次攻击，而不是一个受欢迎的在线销售网站？如果该CSP实际上检测到了攻击，它有可能不被授权或不具备足够的知识可以采取自定义的缓解措施。这意味着需要一种定制的云DDoS防护服务。大多数的大型公有云服务提供商都提供可选的每客户DDoS防护，通常需要支付额外的费用。这可以提供给客户定制的DDoS保护配置，深入分析和警报的功能，以满足客户自己的组织结构和需求。

不难看出，公有云DDoS防护产品很值得研究，特别是那些已经可以管理大多数现有云服务的产品。当然，并非所有组织都将他们主要的在线服务托管在公有云基础架构中。比如私有云配置或客户管理的数据中心。在这种情况下，第三方或自管理DDoS保护的好处就可以脱颖而出。我们有足够多的选择，需要做的仅仅只是在不同的选项之间作出各种权衡。