DDoS防御的层级是什么，每一层处理什么？

Question

Accepted Answer

DDoS防御是**纵深防御**：没有单一的控制措施能够阻止所有攻击，所以你堆叠多个层，每一层吸收、过滤或阻止不同类别的流量。顺序很重要——尽可能将工作推向边缘，远离你的源站。

## 层级，从外向内

- **CDN / scrubbing centers**（Cloudflare、Akamai、AWS Shield）——最外层。使用 **anycast**，同一个IP从许多存在点进行公告，所以大流量攻击**分散到全球容量**而不是单一数据中心。Scrubbing centers吸收流量洪流，只转发干净的流量。
- **WAF（Web应用防火墙）** ——检查HTTP请求并阻止恶意模式：坏签名、可疑用户代理、已知的坏IP，以及**第7层**模仿真实请求的泛洪攻击。
- **速率限制** ——限制单个时间窗口内按IP、API密钥或用户的请求数，返回 `429 Too Many Requests`。阻止滥用客户端而不伤害正常客户端。
- **上游 / ISP黑洞（null-route）** ——应对大流量的最后手段。提供商丢弃所有目标IP的流量（**远程触发黑洞，RTBH**），牺牲那一个IP来保护其他所有IP。
- **自动扩展 + 过度配置** ——额外的源站容量来**吸收**漏过的流量，争取时间让其他层参与。

## 它们如何协同工作

心智模型是 **吸收 -> 过滤 -> 阻止**：

```text
Internet flood
  -> CDN + anycast      : ABSORB volume across global PoPs
  -> scrubbing          : drop obvious junk (L3/L4 floods)
  -> WAF                : FILTER malicious HTTP (L7)
  -> rate limiting       : throttle abusive clients (429)
  -> origin (autoscaled) : serve the clean remainder
  -> ISP null-route      : last resort if origin IP is overwhelmed
```

大流量攻击在CDN/scrubbing层被消化；看起来像真实流量的应用层攻击被WAF和速率限制器过滤掉。

## 为什么这很重要

依赖单一层会导致可预测的失败：WAF无法阻止1 Tbps的泛洪（管道先饱和），CDN单独会很乐意将巧妙的HTTP泛洪传递到你的源站。分层意味着每类攻击都遇到专为其设计的控制措施，源站只会看到外层无法自行处理的流量。