DDoS防御發展史
DDoS(Distributed Denial of Service，分布式拒絕服務)主要通過大量合法的請求占用大量網絡資源，從而使合法用戶無法得到服務的響應，是目前最強大、最難防御的網絡攻擊之一。

DDoS作為一種古老的攻擊方式，其防御方式也經歷了多個發展階段：
1. 內核優化時代
在早期時代，沒有專業的防護清洗設備來進行DDoS防御，當時互聯網的帶寬也比較小，很多人都是在用56K的modem撥號上網，攻擊者可以利用的帶寬也相對比較小，對于防御者來說，一般通過內核參數優化、iptables就能基本解決攻擊，有內核開發能力的人還可以通過寫內核防護模塊來提升防護能力。
在這個時期，利用Linux本身提供的功能就可以基本防御DDoS攻擊。比如針對SYN FLOOD攻擊，調整net.ipv4.tcp_max_syn_backlog參數控制半連接隊列上限，避免連接被打滿，調整net.ipv4.tcp_tw_recycle，net.ipv4.tcp_fin_timeout來控制tcp狀態保持在TIME-WAIT，FIN-WAIT-2的連接個數;針對ICMP FLOOD攻擊，控制IPTABLES來關閉和限制ping報文的速率，也可以過濾掉不符合RFC協議規范的畸形報文。但是這種方式只是在優化單臺服務器，隨著攻擊資源和力度的逐漸增強，這種防護方式就顯得力不從心了。
2. 專業anti-DDoS硬件防火墻
專業anti-DDoS硬件防火墻對功耗、轉發芯片、操作系統等各個部分都進行了優化，用來滿足DDoS流量清洗的訴求。 一般IDC服務提供商會購買anti-DDoS硬件防火墻，部署在機房入口處為整個機房提供清洗服務，這些清洗盒子的性能從單臺百兆的性能，逐步發展到1Gbps、10Gbps、20Gbps、100Gbps或者更高，所提供的清洗功能也基本涵蓋了3-7層的各種攻擊(SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD、ACK-FLOOD、TCP連接型FLOOD、CC攻擊、DNS-FLOOD、反射攻擊等)。
這種方式對IDC服務商來講有相當高的成本，每個機房入口都需要有清洗設備覆蓋，要有專業的運維人員來維護，而且并不是每個IDC機房都可以有同等的清洗防護能力，有的小機房上聯可能只有20G帶寬，且不具備復用這些清洗設備的能力。
3. 云時代的DDoS高防IP防護方案
在云時代，服務部署在各種云上，或者傳統的IDC機房里面，他們提供的DDoS基礎清洗服務標準并不一致，在遭受到超大流量DDoS攻擊情況下，托管所在的機房并不能提供對應的防護能力，不得已，為了保護他們的服務不受影響，就會有“黑洞”的概念產生。黑洞是指服務器受攻擊流量超過IDC機房黑洞閾值時，IDC機房會屏蔽服務器的外網訪問，避免攻擊持續，影響整體機房的穩定性。
在這種情況下，DDoS高防IP是通過建立各種大帶寬的機房，提供整套的DDoS解決方案，將流量轉到DDoS高防IP上進行防護，然后再把清洗后的干凈流量轉發回用戶真正的源站。這種方式會復用機房資源，專業機房做專業的事情。簡化DDoS防護的復雜度，以SaaS化的方式提供DDoS清洗服務。

硬件防火墻

大規模集群服務器
由此可以看出，云時代的DDoS