高防 CDN 節點安全防護計劃方案 (下稱高防 CDN 節點) 是利用遍佈足夠多的 CDN 節點連線點以及單 CDN 節點連線點都具有一定的 DDoS 安全防護能力來實現站羣服務器 DDoS 攻擊時安全防護的。一般來説,高防 CDN 廠商的 CDN 節點數量都大於 50 個,單 CDN 節點的 DDoS 防護能力都在 20-100Gbps 之間。
CDN 高防具備以下五個特點:
網站加速能力較好:CDN 節點一般會按省份按線路進行分佈,業務流量一般會通過 DNS 智慧解析來進行排程,多用户可以通過最優的 CDN 節點來訪問業務網站,CDN 節點可以對業務網站中的靜態資源進行加速,因此多用户的訪問時延會大大降低,體驗會比較好。推薦閲讀:《怎麼保護香港站羣服務器免受 DDoS 攻擊呢?》
七層防護能力較好:由於 CDN 節點的主要功能就是進行七層的加速及轉發,所以單 CDN 節點都有一定的處理能力,加上分佈的節點很多,因此在針對 URL 的 DDoS 攻擊時,流量會被 DNS 排程,分散到各個 CDN 節點,充分利用全網帶寬實現有效的防護。
站羣服務器 DDoS 攻擊選擇高防 IP 還是 CDN 高防
無法防禦針對性的 DDoS 攻擊:由於高防 CDN 節點的防護能力一般在 20-100Gbps 之間,如果攻擊者繫結 HOST 來指定節點進行攻擊,或者針對各節點 IP 輪流發起攻擊,只要攻擊流量超過單 CDN 節點的防護能力,則會造成單 CDN 節點所有業務服務出現中斷,如果攻擊者針對 CDN 節點依次發起超大流量攻擊,則會造成多用户的業務在節點間不停地切換 (單次切換時間大約在 2-5 分鐘),甚至會導致整個服務出現中斷。
共享 IP 無法區分具體攻擊:CDN 節點一般都是採用共享 IP 段的方式來分配業務,一個 IP 可能會載入多個域名的業務,因此如果一個 IP 遭受 DDoS 攻擊,由於無法區分攻擊來自哪個域名業務,高防 CDN 廠商的一般做法是將 IP 相關的所有業務域名進行回源,此種方式會導致攻擊流量直接牽引至源站,或者將源站暴露給攻擊者,造成源站的安全風險急劇增加。
支援隱藏源站:高防 CDN 對外暴露的是各節點的共享 IP 地址段,通過 CDN 節點 IP 實現對源站的業務轉發,攻擊者無法通過業務互動獲取真實的多用户源站,從而保障了源站的安全。推薦閲讀:《如何預防 DDOS 攻擊?》
高防 IP 防護方案分析
高防 IP 防護方案 (下稱高防 IP) 是利用在各區域建設的超大帶寬及防護能力的 DDoS 防護節點來實現 DDoS 防護的,一般來説,高防 IP 廠商在全國的防護節點數量為 2-10 個,單節點的 DDoS 防護能力一般在 300-1000Gbps 之間。
高防 IP 防護具備以下三個特點:
DDoS 防護效果好: 針對不同客户的需求,高防 IP 廠商一般提供一個或者多個高防節點來對客户業務進行防護,客户所有的流量都會收斂到高防節點,而高防節點一般都具備 300-1000Gbps 的防護能力,只要攻擊流量小於節點的最大防護能力,節點都能輕鬆應對。
網站加速能力稍弱:高防 IP 的節點一般在 10 個以內,無法像高防 CDN 一樣,通過各省提供的 CDN 節點為網站加速,但是高防 IP 也可以提供多個大區節點,對業務的靜態資源進行快取加速及按照大區或線路進行 DNS 排程,可有效減少對源站帶寬資源的使用,及實現按大區或線路近源訪問的能力。
支援隱藏源站:高防 IP 對外暴露的是各節點的獨立高防 IP,通過各高防節點的獨立 IP 實現業務轉發,攻擊者無法通過業務互動獲取真實的多用户源站,從而保障了源站的安全。
根據上述的比較結果來看,CDN 高防的 DDoS 防護能力弱於高防 IP,但網站加速能力佔優,因此適用於對網站加速要求較高,DDoS 防禦要求小於 100Gbps 的多用户,如大型入口網站等業務。而高防 IP 則適用於對網站加速要求不高,DDoS 攻擊威脅不明確,且與源站有頻繁動態互動的多用户,如遊戲業務、互聯網金融業務、小型推廣網站、對外業務站羣系統等。
目前 100Gbps 以下的 DDoS 攻擊已經甚少,且攻擊流量還呈不斷擴大的趨勢,如要有效防護 DDoS 攻擊,單節點的最大防護能力最為重要,只有單點防護能力足夠,才能確保在遭受超大流量 DDoS 攻擊時業務不受任何影響。因此在現今 DDoS 攻擊的發展態勢下,多用户選擇 DDoS 防護方案時,建議優先選擇高防 IP 。以上就是暴露 bluehos 講解 的站羣服務器 DDoS 攻擊選擇高防 IP 還是 CDN 高防。推薦閲讀:《站羣服務器 WP 虛擬主機怎樣防禦 DDos 攻擊》
