对于企业和组织而言，分布式拒绝服务攻击（DDoS）不仅是非常痛苦的，而且还会给公司打来巨大的损失。那么我们应该如何防御这种攻击呢？在此之前，我们可以通过带外系统或流量清洗中心来抵御DDoS攻击。但是现在我们又多了一种防御方法，即内联缓解（inline mitigation），这也是一种可行的自动化解决方案。

DDoS攻击概述

实际上，DDoS攻击完全可以被当作“大规模网络攻击”的代名词。而且在某些特殊的攻击场景中，攻击流量可以达到每秒钟好几百Gbits，但是这种情况相对来说比较罕见。在大多数情况下，攻击者可以用每秒钟1Gbit（或者更少）的流量来对企业或组织的网络系统发动洪泛攻击。而且这些攻击的持续时间一般不会太长，大多数DDoS攻击只会持续三十分钟左右。攻击者可以通过DDoS攻击来拖垮目标网络系统，而且往往会使整个网络系统中所有的服务器全部下线。不仅如此，我们通常很难追踪到攻击者，而且这种攻击也没有什么很明显的前兆，这也就使得企业和组织很难去检测和防御DDoS攻击。

2015年5月份，安全咨询机构波耐蒙研究所（Ponemon Institute）发布了一份针对金融领域的网络安全威胁分析报告。据统计，金融机构检测分布式拒绝服务攻击平均需要花费27天的时间，然后还需要花13天的时间去消除DDoS攻击所带来的影响。

但是，这些攻击的成本通常也比较高。根据波耐蒙研究所的另一份调查报告，DDoS攻击的平均成本约为一百五十万美元左右，但是如果公司无法向客户提供服务的话，公司的实际损失金额一般都会超过DDoS攻击成本的三倍之多。目前，DDoS攻击平均每小时的成本约为38美金。所以无论如何，我们都应该考虑一下到底应该如何防御DDoS攻击了。

内联vs带外

在最开始，行业内在防御DDoS攻击时普遍采用的是带外DDoS保护。在这种防御机制下，网络中的设备是独立于路由器的。路由器负责传输来自互联网的流量数据，然后发送元数据样本，并向设备描述流量数据的内容。如果系统检测到了可疑的数据包或者探测到了DDoS攻击的苗头，那么便会立刻向用户发出警报。

与之相反，带内DDoS保护机制需要直接面对所有的通信数据流，并且在对流量进行分析和处理的过程中，判断哪些数据包需要丢弃，然后将有效的数据包发送给终端设备或用户。

内联系统可以查看到从某个网络节点流向另外一个网络节点的通信流量，并且可以实时过滤和处理这些网络流量。相对而言，带外设备几乎无法获取到通信流量的样本，而且这些数据早就已经到达目的地址了。