站务联系
我们都晓得全球互联化行业遭到了网路防御的很大恐吓,尤其是DDoS流量攻击,手段不断更新,几乎各行各业都其所受连累。
DDoS攻击是主要以码率消耗为防御特性的网路防御方式,受攻击者通常很难独立攻击,必须寻求第三方的DDoS防护服务来协助攻击。目前市场上主要有两种防护方案,一种是基于CDN进行DDoS攻击,简称高防CDN防护方案,另外一种是基于超大码率及超大DDoS擦洗能力的高防节点进行DDoS攻击,简称高防IP防护方案。下面就由锐速云的技术人员为你们介绍一下
cdn,及实现按大区或线路近源访问的能力。
3、支持掩藏源站:
高防IP对外显露的是各节点的独立高防IP,通过各高防节点的独立IP实现业务转发,攻击者未能通过业务交互获取真实的用户源站,从而保障了源站的安全。
二、高防CDN防护方案剖析
高防CDN防护方案(下称高防CDN)是运用分布足够多的CDN节点以及单CDN节点都具有一定的DDoS防护能力来实现DDoS防护的。一般来说,高防CDN厂家的CDN节点数目都小于50个,单CDN节点的DDoS防护能力都在20-100Gbps之间。
高防CDN防护具有以下五个特征:
1、网站加快能力较差:
CDN节点通常会按省市按线路进行分布,业务流量通常会通过DNS智能解析来进行调度,用户可以通过最优的CDN节点来访问业务网站,CDN节点可以对业务网站中的静态资源进行加快,因此用户的访问带宽会大大增加,体验会比较好。
2、七层防护能力较差:
由于CDN节点的主要功能就是进行七层的加快及转发,所以单CDN节点都有一定的处理能力,加上分布的节点太多,因此在针对URL的DDoS攻击时,流量会被DNS调度,分散至各个CDN节点,充分利用全网码率实现有效的防护。
3、无法攻击针对性的DDoS攻击:
由于高防CDN节点的防护能力通常在20-100Gbps之间,如果攻击者绑定HOST来指定节点进行防御,或者针对各节点IP轮流发起防御,只要防御流量超出单CDN节点的防护能力,则会导致单CDN节点所有业务服务出现中断,如果攻击者针对CDN节点依次发起超大流量防御,则会导致用户的业务在节点间不停地切换(单次切换时间大概在2-5分钟),甚至会导致整个服务出现中断。
4、共享IP难以分辨详细防御:
CDN节点通常都是选用共享IP段的方法来分配业务,一个IP可能会读取多个域名的业务,因此假如一个IP遭到DDoS攻击,由于未能分辨防御来自那个域名业务,高防CDN厂家的通常做法是将IP相关的所有业务域名进行回源,此种形式会导致防御流量直接牵引到源站高防cdn,或者将源站显露给攻击者,造成源站的安全风险大幅提高。
5、支持掩藏源站:
高防CDN对外显露的是各节点的共享IP地址段,通过CDN节点IP实现对源站的业务转发,攻击者未能通过业务交互获取真实的用户源站,从而保障了源站的安全。
