什麼是 DDoS 攻擊？

減緩 DDoS 攻擊的首選技術之一，是將可能受攻擊的區域降到最低，以限制攻擊者的選擇，讓您能夠在單一位置建立保護。我們要確保應用程式或資源不會公開至不應收到任何通訊的連接埠、協定或應用程式。從而大幅減少可能的攻擊點，讓我們專注於減緩攻擊風險。在某些情況下，您可以將計算資源放在內容分發網路 (CDN) 或負載平衡器後面，並將直接網際網路流量限制到基礎架構的某些部分，例如資料庫伺服器。在其他情況下，您可以使用防火牆或存取控制清單 (ACL) 來控制到達應用程式的流量。

減緩大規模 DDoS 攻擊的兩個主要考量是，可承擔與減緩攻擊的頻寬 (或傳輸) 容量和伺服器容量。

傳輸容量。建立應用程式的架構時，請確保託管供應商提供足以讓您處理大流量的冗餘網際網路連線能力。DDoS 攻擊的最終目的是影響資源/應用程式的可用性，因此您不僅應將資源/應用程式放置在靠近最終使用者的位置，並且還要靠近大型網際網路交換，讓使用者即使在高流量期間也能輕鬆存取應用程式。此外，Web 應用程式可以利用內容分發網路 (CDN) 和智慧型 DNS 解析服務，這些服務提供額外的網路基礎架構層，以提供內容和解決來自通常與最終使用者更近的位置的 DNS 查詢。

伺服器容量。大多數的 DDoS 攻擊是大規模攻擊，會佔用大量資源；因此，能夠快速擴展或縮減運算資源非常重要。您可以在較大的計算資源上執行此操作，或具有更廣泛的網路介面或支援較大磁碟區的增強網路功能的運算資源執行此操作。此外，通常也會使用負載平衡器，持續監控及轉換資源之間的負載，以防任一資源超載。

每當我們偵測到攻擊主機的流量增加時，最基本的底線就是在主機能夠處理且不影響可用性的情況下，盡可能地接受流量。這個概念稱為速率限制。更進階的保護技術可以更進一步以智慧型的方式，透過分析個別封包僅接受合法的流量。若要這樣做，您必須了解正常流量的特性，目標通常可接收正常流量且能夠根據此底線來比較每個封包。

最好的做法是使用 Web 應用程式防火牆 (WAF) 來防止攻擊 (例如 SQL 插入或跨網站請求偽造)，這些攻擊會嘗試惡意利用應用程式本身中的弱點。此外，由於這些攻擊的特性，您應該能夠輕鬆地針對非合法要求創建自定義的緩解措施，這些可能具有偽裝為良好流量或來自不良的 IP、意外地理位置等特徵。在發生攻擊時，得到經驗豐富的支援來研究流量模式以及建立自訂保護措施，都有助於減緩攻擊。