十月一国庆的时候，SINE安全公司收到一游戏客户的寻求帮助，他们的游戏平台在最近这段

时间服务器连续遭受到大流量攻击，流量峰值都达到了160多G，严重影响了游戏平台的运转，从

多年的安全经验来说，160GB的DDOS流量防护方案，在安全界有这很多的安全解决方案，像阿里

云的云盾流量防护，可以自定义级别10-180GB，但是开启阿里云的高级防护，价格不菲，一般客

户受不了，所以客户选择了我们.

 

 

在寻求低成本的方面，也考虑到了游戏平台的后期运营与发展，那个运营者都不会去做赔本的买

卖，都会合计成本，但是按照业界的流量处理成本恐怕不足以支撑整个游戏网站平台的运转。关

于如何低成本的解决DDOS流量攻击，下面我们来谈一谈该如何处理流量攻击，从多个方面去分

析，国内各大平台给出的基本都是高防服务，这和流量清洗并不是同一个概念。高防服务一般针

对各类攻击（包括 DDoS 和 CC）都具有一定的防护能力，而流量清洗主要针对异常流量进行清

洗和防护，但对 CC 攻击这种 “看起来正常” 的攻击流量并不能实现很好的攻击防御。

 

什么是DDOS流量攻击？
 

 

让我们先来了解一下什么是DDOS流量攻击，DDoS流量攻击也可以说是流量分布式拒绝攻击，

CC攻击也是DDoS流量攻击的一种，但和DDoS流量攻击不同的是，它发出了大量的正常请求

给服务端使服务端资源耗尽。具体对两者的定义，CC攻击成本低，DDOS流量攻击成本较高。

Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测

试,安全服务于一体的网络安全服务提供商。

 

 

举一个比较通俗的例子让大家明白什么是DDOS流量攻击：

 

一条公路本来可以同时承载100辆车通行，突然间来了1000辆车，导致公路大堵塞，其他车辆

根本无法上公路上行驶了。这时该怎么办，找交警来疏通，慢慢的疏通开，公路也畅通了，车

辆可以有序的行驶了。
 

 

根据客户的流量攻击特征我们来分析下：
 

 

看一下游戏平台的用户地区：通过游戏后台的流量统计可以看出，访问者绝大部分来自于中国大

陆，极少情况会有在东南亚出（旅）差（游）办（休）事（闲）的爱国人士来刷存在感。中国大

陆地区的访问情况大致如下，可以看到访客绝大部分来自于中、东部各省、市、自治区。如下图：

 

 

 

从各类访问日志来看，来自于中国大陆的攻击流量占比不到一半，来自于中国台湾

 

、美国、欧洲和南美的流量非常得多，总结如下：

 

国内外攻击占比
 

中国大陆流量 ~40%
 

大陆以外流量 ~60%
 

流量攻击方式
 

DDoS

CC
 

根据以上的情况，我们可以得出一些结论：

 

大多数正常访问都是国内流量，可以购买支持隔断境外访问的国内高防，减少海外攻击影响；

可以使用智能 DNS 把国外流量引到国外高防，就算国外挂了也对国内没有影响；国内需要防

护来保证服务的可靠运行；Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检

测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

 

 

具体流量攻击防护方案如下：

 

根据以上的流量分析可以发现，需要流量防护的重点在页面内容上，这都是些小文件，可能要

问提高服务的 QPS 行不行，例如：

 

提高 gzip 压缩比，减少网络开销。
 

使用 nginx 集群，提高负载能力。
 

加入各类缓存服务，让性能更上一层楼。
 

但是单纯通过提高自身的 QPS 来应对攻击，实际是不行的，因为带宽容易被 DDoS 挤满，后端

性能再强也会因为带宽不足无法提供正常服务，另一方面，增加自身 QPS 性能带来的成本比攻

击者提高攻击并发产生的成本大得多得多，对方少抽一包烟就能让你辛苦搭建的集群分分钟负载

跑满。

 

 

一、同时放置在国内静态文件服务和境外高防的静态文件服务之上；

 

CDN回源请求页面内容并提供访问服务，国内和国外静态文件服务有两个 DNS 记录进行解析，

正常服务时DNS 解析大陆访客到大陆 CDN 访问，海外访客到国外高防服务器进行访问。

 

二、遇到攻击时流量超出CDN预设的带宽峰值回源，直接回源到 国外高防服务器地址进行流量

清洗和防护；以上策略实现了正常状态下的具有良好的访问体验，被攻击时保证页面可以正常

浏览。 

 

 

三、从国内高防服务完全迁移到国外前后使用了近一个月的时间，为了验证国外服务的可靠性和

清洗能力，对迁移期间遭到的若干次攻击做了手动调度，即发现攻击后将流量全部迁移到国外，

即时监控国外服务的清洗情况和服务质量并进行调整优化。