我理解的解决DDoS攻击方式参考Cloudflare的任播(Anycast)技术

DDoS的攻击无论在个人甚至是中小互联网企业中都很棘手，甚至一些大型企业都很难应对，本篇文章我想通过我自己的理解，看看世界顶级CDN安全厂商Cloudflare是怎么化解DDoS攻击的。

什么DDoS攻击

以资料摘选自维基百科。

先说DoS攻击：拒绝服务攻击（denial-of-service attack，简称DoS攻击）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

再说DDoS攻击：当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时，称为分布式拒绝服务攻击（distributed denial-of-service attack，简称DDoS攻击）。

按说只要使用防火墙或者清洗设备将这些垃圾数据包清洗了就可以了，为什么中小企业无法解决呢，甚至大型企业也很头疼呢？虽然DDoS中还分很多种，但往往会把网络带宽占满，而带宽的成本又非常贵，例如在2019年阿里云就遭到一个次1.7Tbps的DDoS攻击，如果是靠买带宽来应对的话，这2T的带宽可能是天价了，用阿里云零售高仿网络宽带举例，30Gbps一年要21万，600Gbps一年要380万，可见想要靠带宽防御DDoS的成本非常高，让很多中小企业只能任凭黑客敲诈勒索。

解决方案分析

既然DDoS攻击原理是分布式攻击，流量来自全世界，汇聚到一点形成巨大的流量，那解决方案也需要是分布式的来将一个点变成一个面。接下来我就分两个案例来讨论一下防御DDoS的实现。

世界顶级CDN安全厂商Cloudflare

Cloudflare的免费版竟然提供无限防御流量，这点其他的厂商都有防御限度，超过阀值以后就会回源，不再防护，但Cloudflare却声称没有防御上限，也就是说Cloudflare能抗住多少流量就为你抗住多少流量，绝不会回源。

Cloudflare为什么能提供无限的防御能力呢？口气也太大了！我们在网上还会看到有人测试Cloudflare的防御极限到底是多少，但往往都会失败，说是发现Cloudflare打不死的IP，几乎无敌的存在，Cloudflare是怎么做到的呢？这就得说任播(Anycast)技术。

任播(Anycast)技术

Cloudflare是最早一批大面积使用任播(Anycast)技术的厂商，如此无敌的防御能力也是得益于任播(Anycast)技术。由于我也不是网络专业人事，只是谈一下我的理解和认知，所以我就以大白话给大家解释一番。

在之前传统网络环境中，我们认为一个IP地址就对应一个主机，一个IP段路由到一个机房，根据IP地址就能找到所在机房或者具体的服务器，这也是为什么DDoS甚至可以打垮一整个机房，但是是用任播(Anycast)技术就可以产生申请的效果。

任播(Anycast)技术可以使用多个 AS 号码在不同的地区广播相同的一个 IP 段，这就出现一个IP地址可以同时出现在全球任意一个国家，任意一个机房，注意是同时存在哦。

这样就可以让全球各个国家各个地域的流量虽然访问的是同一个IP但却流向了各自就近的不同机房中，得益于这样的技术，使得原本分布式的DDoS集合起来打一处，变成了各个区域的肉鸡各打各的，无法集中火力攻打一处，就使用分布式的方式解决了分布式的攻击。

Cloudflare号称拥有超过 51 Tbps 的网络防护容量，当然不可能是某个具体的机房，应该是所有机房加起来的总和，使用任播技术将流量调度到各个机房去。

中国国内电信云堤

中国电信的云堤我虽然不知道是否使用的是任播(Anycast)技术，但防御的原理是一样的，将各地的流量先导入电信云堤各地的机房，然后再转发到真实的源地址，当有攻击时，各个地域处理各个地域的攻击流量，这就防止了洪水般的的流量攻击到一处。云堤也号称可以开启无敌模式，打不死。