高防 CDN 节点安全防护计划方案 (下称高防 CDN 节点) 是利用遍布足够多的 CDN 节点连线点以及单 CDN 节点连线点都具有一定的 DDoS 安全防护能力来实现站群服务器 DDoS 攻击时安全防护的。一般来说,高防 CDN 厂商的 CDN 节点数量都大于 50 个,单 CDN 节点的 DDoS 防护能力都在 20-100Gbps 之间。
CDN 高防具备以下五个特点:
网站加速能力较好:CDN 节点一般会按省份按线路进行分布,业务流量一般会通过 DNS 智慧解析来进行排程,多用户可以通过最优的 CDN 节点来访问业务网站,CDN 节点可以对业务网站中的静态资源进行加速,因此多用户的访问时延会大大降低,体验会比较好。推荐阅读:《怎么保护香港站群服务器免受 DDoS 攻击呢?》
七层防护能力较好:由于 CDN 节点的主要功能就是进行七层的加速及转发,所以单 CDN 节点都有一定的处理能力,加上分布的节点很多,因此在针对 URL 的 DDoS 攻击时,流量会被 DNS 排程,分散到各个 CDN 节点,充分利用全网带宽实现有效的防护。
站群服务器 DDoS 攻击选择高防 IP 还是 CDN 高防
无法防御针对性的 DDoS 攻击:由于高防 CDN 节点的防护能力一般在 20-100Gbps 之间,如果攻击者系结 HOST 来指定节点进行攻击,或者针对各节点 IP 轮流发起攻击,只要攻击流量超过单 CDN 节点的防护能力,则会造成单 CDN 节点所有业务服务出现中断,如果攻击者针对 CDN 节点依次发起超大流量攻击,则会造成多用户的业务在节点间不停地切换 (单次切换时间大约在 2-5 分钟),甚至会导致整个服务出现中断。
共享 IP 无法区分具体攻击:CDN 节点一般都是采用共享 IP 段的方式来分配业务,一个 IP 可能会载入多个域名的业务,因此如果一个 IP 遭受 DDoS 攻击,由于无法区分攻击来自哪个域名业务,高防 CDN 厂商的一般做法是将 IP 相关的所有业务域名进行回源,此种方式会导致攻击流量直接牵引至源站,或者将源站暴露给攻击者,造成源站的安全风险急剧增加。
支援隐藏源站:高防 CDN 对外暴露的是各节点的共享 IP 地址段,通过 CDN 节点 IP 实现对源站的业务转发,攻击者无法通过业务互动获取真实的多用户源站,从而保障了源站的安全。推荐阅读:《如何预防 DDOS 攻击?》
高防 IP 防护方案分析
高防 IP 防护方案 (下称高防 IP) 是利用在各区域建设的超大带宽及防护能力的 DDoS 防护节点来实现 DDoS 防护的,一般来说,高防 IP 厂商在全国的防护节点数量为 2-10 个,单节点的 DDoS 防护能力一般在 300-1000Gbps 之间。
高防 IP 防护具备以下三个特点:
DDoS 防护效果好: 针对不同客户的需求,高防 IP 厂商一般提供一个或者多个高防节点来对客户业务进行防护,客户所有的流量都会收敛到高防节点,而高防节点一般都具备 300-1000Gbps 的防护能力,只要攻击流量小于节点的最大防护能力,节点都能轻松应对。
网站加速能力稍弱:高防 IP 的节点一般在 10 个以内,无法像高防 CDN 一样,通过各省提供的 CDN 节点为网站加速,但是高防 IP 也可以提供多个大区节点,对业务的静态资源进行快取加速及按照大区或线路进行 DNS 排程,可有效减少对源站带宽资源的使用,及实现按大区或线路近源访问的能力。
支援隐藏源站:高防 IP 对外暴露的是各节点的独立高防 IP,通过各高防节点的独立 IP 实现业务转发,攻击者无法通过业务互动获取真实的多用户源站,从而保障了源站的安全。
根据上述的比较结果来看,CDN 高防的 DDoS 防护能力弱于高防 IP,但网站加速能力占优,因此适用于对网站加速要求较高,DDoS 防御要求小于 100Gbps 的多用户,如大型入口网站等业务。而高防 IP 则适用于对网站加速要求不高,DDoS 攻击威胁不明确,且与源站有频繁动态互动的多用户,如游戏业务、互联网金融业务、小型推广网站、对外业务站群系统等。
目前 100Gbps 以下的 DDoS 攻击已经甚少,且攻击流量还呈不断扩大的趋势,如要有效防护 DDoS 攻击,单节点的最大防护能力最为重要,只有单点防护能力足够,才能确保在遭受超大流量 DDoS 攻击时业务不受任何影响。因此在现今 DDoS 攻击的发展态势下,多用户选择 DDoS 防护方案时,建议优先选择高防 IP 。以上就是暴露 bluehos 讲解 的站群服务器 DDoS 攻击选择高防 IP 还是 CDN 高防。推荐阅读:《站群服务器 WP 虚拟主机怎样防御 DDos 攻击》
