越来越多的企业正在采用基于云的DDoS防御措施,并将其替换传统的DDoS高防服务器。对用户来说，尽管如此，仍有许多原因可能使您想要保留您的DDoS香港高防服务器。

一、DDoS云端保护方案的兴起

越来越多的企业正在部署基于云的DDoS缓解服务。事实上，估计到2021年，基于云的缓解服务将占DDoS保护支出的70%。

采用基于云的保护的原因很多。首先，是能力。随着DDoS攻击不断扩大，能够使入站通信管道饱和的大容量DDoS攻击变得越来越普遍。因此，具有大规模的基于云的清洗能力来吸收这种攻击是必不可少的。

此外，基于云的DDoS防御是按照现买现用的SaaS订阅模式购买的，因此企业可以快速扩大或缩小，并且不需要提前分配大量资本支出(CAPEX)。例如高防IP，你只需修改DNS设置即可快速获得防御能力，并在需要时快速无缝升级防御能力。此外，云服务通常比本地设备提供更容易的管理和更低的开销，并且不需要专职人员来管理。

因此，越来越多的企业正在寻求云端的DDoS保护。然而，尽管云端DDoS保护有诸多好处，但仍然有很多关键原因使得企业仍然希望采用高防服务器来维护在线业务。

二、双向流量可见性

根据定义，基于云的服务仅提供对企业中入口或入站流量的可见性。他们检查流量到达原点时的流量，并清除它识别出的恶意流量。虽然这对于大多数类型的DDoS攻击来说都是完美的，但是某些类型的DDoS攻击需要能够查看两个流量信道才能被检测和缓解。

需要查看出口流量以便检测的攻击示例包括：

•状态外协议攻击：这些攻击利用协议通信过程中的弱点(例如TCP的三次握手)来创建耗尽服务器资源的“状态外”连接请求。虽然这种类型的攻击(例如SYN泛洪)可以仅通过对入口流量的可见性来缓解，但其他类型的状态外DDoS攻击(例如ACK泛洪)也需要对出站信道的可见性。将需要对出口信道的可见性来检测这些ACK响应与合法的SYN/ACK响应无关，因此可以被阻止。

•反射/放大攻击：这些攻击利用某些协议或请求类型的非对称性，以便发动将耗尽服务器资源或使出站通信信道饱和的攻击。此类攻击的一个示例是大型文件下载攻击。在这种情况下，需要对出口信道的可见性来检测从网络流出的出站流量的尖峰。

•扫描攻击：此类攻击经常出现DDoS攻击的标志，因为它们会在网络中出现大量错误的连接请求。此类扫描经常会产生大量错误回复，这可能会堵塞出站通道。同样，需要对出站流量的可见性来识别相对于合法入站流量的错误响应率，以便防御可以断定正在发生攻击。

三、应用层保护

同样，依赖基于场所的设备对应用层(L7)DDoS保护和SSL处理具有一定的优势。某些类型的应用层(L7)DDoS攻击利用已知的协议弱点，以生成大量耗尽服务器资源的伪造应用请求。这种攻击的示例是低速和慢速攻击或应用层SYN泛洪，它们抽取TCP和HTTP连接以持续消耗服务器资源。

同样，尽管云清理服务可以减轻某些此类攻击，但减轻某些类型的攻击需要应用程序状态感知，即基于云的缓解服务通常不具备这些功能。使用具有应用层DDoS保护功能的DDoS香港高防服务器，允许企业拥有此功能。

四、SSLDDoS保护

此外，SSL加密增加了另一层复杂性，因为加密层使得难以检查流量内容以查找恶意流量。为了检查流量内容，基于云的服务必须解密所有流量，检查它，清除不良流量并重新加密，然后再将其转发给客户来源。

因此，大多数基于云的DDoS缓解服务根本不为基于SSL的流量提供保护，或者使用全代理SSL卸载，这要求客户将其证书上载到服务提供商的云基础架构。