拒绝Dos服务攻击通过多种手段消耗网络带宽和系统CPU、内存、连接数等资源，直接导致网络带宽枯竭和系统资源枯竭，其目标系统可以为普通用户提供业务服务， 常规流量型DDos攻击应急防护方式因其选择的引流技术不同而实现存在差异，主要分为以下三种方式来实现分层清洗的效果。

1 .本地DDos防护设备

一般来说，当恶意组织发起DDos攻击时，最先感知并发挥作用的是本地数据中心内的DDos防护设备，金融机构的本地防护设备多采用旁路镜像部署方式。

本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。 首先，DDos检测装置日常通过流量基线的自学习方式，以与防御相关的各种维度，例如syn消息速率、http访问速率等进行统计，形成流量模型基线，生成防御阈值。

学习结束后，也在每个基线学习的维度上进行流量统计，将每秒的统计结果与防御阈值进行比较，如果超过则判断为有异常，通知管理中心。

从管理中心将引流战略拿出清洗设备，开始引流清洗。 异常流量清洗通过特征、基线、恢复确认等多种方式识别和清洗攻击流量。

在进行异常流量清洗后，为了防止流量再次流入DDos清洗装置，通过在出口装置的回调接口中使用策略路由将强制回调的流量发送到数据中心的内部网络，从而实现目标

2 .载体清洗服务

如果流量型攻击的攻击通信量超过互联网链路的带宽，或者本地DDos清洗设备的性能不足以应对DDos通信量攻击，则使用载波清洗服务，或者通过运营商暂时增加带宽来进行攻击通信量

运营商通过各级DDos防护设备清洗服务的方式帮助用户解决带宽消耗型DDos攻击行为。 实践证明，载体清洗服务在应对流量型DDos攻击时是有效的。

3 .云清洗服务

如果运营商DDos流量清洗无法实现既定效果，可以考虑紧急启用运营商云清洗服务进行最后的对决。

依托分散配置在运营商骨干网上的异常流量清洗中心，实现分散型近源清洗技术，在运营商骨干网上靠近攻击源的地方清洗流量，提高攻击对抗能力。

如果有适用场景，可以考虑利用CNAME或域名方式，将源站解析为安全供应商的云域名，实现引流、清洗、回调，提高抗d能力。 进行这样的清洗需要较大的流量路径变更，相关面较大，不推荐作为日常常规的防御手段。

这三种防御方式有共同的缺点，由于本地DDos防护设备和运营商都不具备HTTPS加密流量的解密能力，所以对HTTPS流量的防护能力有限；

此外，运营商清洗服务大多基于Flow方式检测DDos攻击，由于策略粒度较粗，DDos攻击类型对CC和HTTP慢等APP层特征的检测效果往往不充分。

比较了三种不同方式的应用场景，发现一个解决方案不可能完成所有DDos攻击的清洗。 因为，大多数真正的DDos攻击都是“混合”攻击。

例如，在大流量反射的背景下，其间会有一些CC和连接耗尽，或者混入慢速攻击。 在这种情况下，载波清洗(针对通信量型攻击)很可能需要先清洗80%以上的通信量，清除链路带宽的剩余20%中，80%很可能是攻击通信量，不存在CC攻击、HTTP慢速攻击

在这里，我们建议您使用美国加利福尼亚州圣何塞的机房里的全球数据。 不仅国内访问速度快，还接入国际BGP线路。 默认30M独占带宽、无限流量，免费提供10G真正的防御，随时升级可以防御1TB，成功解决各种CC、流量等DOS攻击问题，保护业务。