很多人理解 DDoS 防护时,会把它想成“挡洪水的闸门”:开得严就挡住攻击,开得松就放过用户。
但在 Cloudflare 这种大规模边缘网络里,更像“分层交通管制”:先在入口粗分流,再用规则与行为信号逐级收口,把压力尽量消化在边缘,而不是把问题丢给源站。
这篇文章只解决一个问题:大规模攻击下,Cloudflare 主要靠哪些层级机制缓解流量?这些机制对正常访问与异常流量,为何会产生不同影响?
一、先给结论:关键不是单点拦截,而是分层卸压、渐进收口
DDoS 的难点在于:量级大、形态多、变化快。
Cloudflare 的常见路径是:
先在边缘做高吞吐卸压;
再做形态识别与分流;
最后在业务敏感点精细收口。
所以你会看到:正常用户相对“无感”;异常流量更难触达源站;不确定流量往往先被限速或降级,而非立刻 403。
二、第一层:网络与传输层卸压(L3/L4)
这一层只做一件事:把最粗的洪峰拦在离攻击最近的地方。
它不看业务语义,重点看连接与包的异常形态。
1、Anycast 吸收:把洪峰摊薄到全网
同一入口由多个边缘节点承接,压力被摊到更大的容量池。
对正常访问:接入更近、RTT 更稳;对攻击:更难“打爆一个点”。
2、连接层保护:抑制连接风暴
大规模攻击常见的崩点不是带宽,而是连接数、握手、队列、超时。
边缘会优先做连接创建速率控制、异常握手/重传抑制、快速丢弃明显异常流量。
对正常访问:可能小幅排队或延迟;对攻击:更难把压力穿透到源站。
3、突刺抑制:把尖峰变平
攻击喜欢用短窗口突刺(极高 QPS/连接创建)。
边缘会先压平尖峰,让源站不被瞬时峰值击穿;重点是压异常尖峰,而不是把所有流量压到很低。
三、第二层:形态识别与反滥用分流(偏 L4/L7 边界)
第一层摊薄洪峰后,下一层要回答:这波流量像不像真实访问?
1、协议一致性:是否“按协议说话”
伪装不充分的攻击常出现:报文特征异常、请求结构不完整、节奏极端或机械。
这类更容易在边缘被快速标记与限制;对正常客户端影响通常较小。
2、来源信誉与历史信号:带记忆的判断
系统会结合历史行为信号(失败/重试模式、探测节奏、访问主体漂移等),决定你进入放行、限速、降级或更强限制的层级。
它未必显性提示,但会影响体验与稳定性。
3、灰度缓冲:不确定流量先“软处理”
高压时直接硬封容易误伤。
更常见的是先限速、延迟、降级、观察,把误伤成本降下来,同时留出判别窗口。
四、第三层:应用层精细分流(L7)
当攻击越来越像正常请求,就必须在业务层分辨意图,保护真正敏感点。
1、按路径敏感度分组
登录、支付、下单、搜索等更敏感;静态资源与普通页面更可缓冲。
常见策略是:敏感路径强策略,普通路径优先软措施,避免全站一刀切。
2、规则与 WAF:先挡可解释的模式
对异常参数形态、扫描/注入等更可解释的攻击,优先用规则挡掉。
关键是规则要分组、可审计、可回收,避免误伤长期固化。
3、行为评分:渐进处置而非立刻阻断
当单一规则难判定时,会综合路径合理性、身份连续性、节奏自然度、失败补救是否激进等信号打分。
评分下降常见处置是:先降级/限速,再加强校验,最后才阻断。
因此你可能看不到明确拦截,但会感到“更慢、内容更少、成功率更差”。
五、为什么同站不同命:正常与异常流量差异在哪
正常访问更容易维持会话连续、特征稳定、路径有上下文,因此停留在高信任层。
异常流量更常因突刺、漂移、不一致被持续降权。
攻击期也更容易出现“200 但降级”,所以判断时要看内容一致性,而不只看状态码。
六、为什么不容易察觉:隐性限制比显性拦截更常见
为了减少误伤,系统常用隐性方式消化压力。
你未必会看到固定 403;更常看到延迟上升、偶发超时增多、内容完整度波动、某些路径成功率缓慢下滑。
等你意识到异常,往往已在更保守的通道里运行了一段时间。
七、排查:先分层定位,再看内容与成本
第一步:区分全站连接类异常(更像 L3/L4)与局部内容退化(更像 L7 分层)。
第二步:用“内容一致性 + 单位成功成本”判断是否进入保守通道(结构波动、同结果更耗时/更费请求)。
第三步:检查失败后的短窗口是否出现重试密集、并发突刺、访问主体频繁切换;越救越糟通常说明补救在放大风险信号。
八、高压场景下的访问稳定性管理
高压期最麻烦的不是“被挡住”,而是被误分到更保守通道:内容降级、延迟上升、成功率缓慢下滑,却缺少清晰提示。穿云API在访问层统一管理会话、出口、节奏与异常回收,并用内容完整度与单位成功成本做集中观测,更容易识别自己是否进入保守通道;同时通过更稳定的访问语义减少漂移与突刺带来的误判,让访问更可控、更可解释。
Cloudflare 的 DDoS 缓解是多层协同:边缘卸压(L3/L4)→ 形态识别分流(L4/L7)→ 业务精细收口(L7)。
正常访问更稳定,往往来自会话连续与特征稳定;异常流量更易因突刺与漂移被降权。
判断稳定与否,别只看有没有 403;更要看内容一致性与单位成功成本是否在上升。
