DDOS攻击原理概述

　　Distributed Denial of Service（DDoS），即分布式拒绝服务攻击，是指攻击者通过远程连接恶意程序控制大量僵尸主机（全国范围甚至全球范围的主机）向一个或多个目标发送大量攻击请求，消耗目标服务器性能或网络带宽，导致其无法响应正常的服务请求。

　　常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

　　DDoS攻击会对您的业务造成以下危害：

　　当DDoS攻击打满企业的业务带宽时就会导致用户无法正常访问您的业务，最终造成巨大经济损失。

　　由于某些行业的恶性竞争，竞争对手可能会通过DDoS攻击手段来打击您的业务，最终导致您的业务在竞争中失败。

　　DDoS防护方案对比

　　1） DDoS基础防护方案（免费）

　　防护对象：适用于腾讯云产品（如 EIP、CLB 等）

　　防护能力：普通用户可享受2Gbps防护，VIP 用户 可享受10Gbps防护。

　　配置方法：无需配置，自动为云内产品 IP 开启防护。

　　2） DDoS高防包方案

　　防护对象：适用于腾讯云产品，包括 CVM、CLB、WAF、黑石物理服务器、黑石负载均衡、NAT IP、EIP、GAAP IP 等，同时也适用于有大量云产品 IP 需要防护的用户 。

　　防护能力：在用户购买的防护次数范围内（建议不限次数，避免次数限制导致影响业务），腾讯云提供不低于30Gbps的 DDoS 防护能力， 最高防护能力根据各个区域的实际网络情况动态调整。

　　3） DDoS高防IP方案

　　防护对象：支持 TCP，UDP，HTTP 和 HTTPS 业务（默认支持 websocket）。

　　防护能力：BGP 线路最高提供 300Gbps 的防护能力，三网线路最高可提供 1Tbps 的防护能力。

　　从三种方案对比可以发现防护能力最高的就是高防IP，具体采用高防包方案还是高防IP方案要根据历史攻击数据以及预算来决定。如果您的防护对象既有腾讯云内的公网IP也有IDC的公网IP，同时要求防护能力比较够可以优先选择高防IP。如果对防护能力低于100G，同时希望保留原有业务IP可以优先考虑高防包。

　　其他注意事项

　　1） 使用 DDoS 高防包的用户每天将拥有三次自助解封机会，在您需要紧急恢复业务情况下，通过控制台防护概览界面进行自助解封。（系统将在每天零点时重置自助解封次数，当天未使用的解封次数不会累计到次日。 ）

　　2） DDoS 高防包仅对腾讯云内的公网 IP 提供 DDoS 防护支持。如需云外的公网IP防护，请您购买 DDoS 高防 IP，支持网站域名和业务端口的接入防护。

　　3） DDoS 高防支持对访问 DDoS 高防的源流量按照协议类型一键封禁。您可配置 ICMP 协议封禁、TCP 协议封禁、UDP 协议封禁和其他协议封禁，配置后相关访问请求会被直接截断。由于 UDP 协议的无连接性（不像 TCP 具有三次握手过程）具有天然的不安全性缺陷，若您没有 UDP 业务，建议封禁 UDP 协议。

　　4） 建议购买高防包选择防护次数时，选择无限次数，避免因为次数限制导致业务受损。