域名預(yù)訂/競價，好“米”不錯過

DDoS攻擊是主要以帶寬消耗為攻擊特征的網(wǎng)絡(luò)攻擊手段，受攻擊者一般很難獨(dú)立防御，必須尋找第三方的DDoS防護(hù)服務(wù)來協(xié)助防御。目前市場上主要有兩種防護(hù)方案，一種是基于CDN進(jìn)行DDoS防御，簡稱高防CDN防護(hù)方案，另外一種是基于超大帶寬及超大DDoS清洗能力的高防節(jié)點(diǎn)進(jìn)行DDoS防御，簡稱高防IP防護(hù)方案。本文將對這兩種方案的防護(hù)特點(diǎn)進(jìn)行詳細(xì)的分析及比較。

高防CDN防護(hù)方案分析

高防CDN防護(hù)方案(下稱高防CDN)是利用分布足夠多的CDN節(jié)點(diǎn)以及單CDN節(jié)點(diǎn)都具備一定的DDoS防護(hù)能力來實(shí)現(xiàn)DDoS防護(hù)的。一般來說，高防CDN廠商的CDN節(jié)點(diǎn)數(shù)量都大于50個，單CDN節(jié)點(diǎn)的DDoS防護(hù)能力都在20-100Gbps之間。

高防CDN防護(hù)具備以下五個特點(diǎn)：

1.網(wǎng)站加速能力較好

CDN節(jié)點(diǎn)一般會按省份按線路進(jìn)行分布，業(yè)務(wù)流量一般會通過DNS智能解析來進(jìn)行調(diào)度，用戶可以通過最優(yōu)的CDN節(jié)點(diǎn)來訪問業(yè)務(wù)網(wǎng)站，CDN節(jié)點(diǎn)可以對業(yè)務(wù)網(wǎng)站中的靜態(tài)資源進(jìn)行加速，因此用戶的訪問時延會大大降低，體驗(yàn)會比較好。

2.七層防護(hù)能力較好

由于CDN節(jié)點(diǎn)的主要功能就是進(jìn)行七層的加速及轉(zhuǎn)發(fā)，所以單CDN節(jié)點(diǎn)都有一定的處理能力，加上分布的節(jié)點(diǎn)很多，因此在針對URL的DDoS攻擊時，流量會被DNS調(diào)度，分散到各個CDN節(jié)點(diǎn)，充分利用全網(wǎng)帶寬實(shí)現(xiàn)有效的防護(hù)。

3.無法防御針對性的DDoS攻擊

由于高防CDN節(jié)點(diǎn)的防護(hù)能力一般在20-100Gbps之間，如果攻擊者綁定HOST來指定節(jié)點(diǎn)進(jìn)行攻擊，或者針對各節(jié)點(diǎn)IP輪流發(fā)起攻擊，只要攻擊流量超過單CDN節(jié)點(diǎn)的防護(hù)能力，則會造成單CDN節(jié)點(diǎn)所有業(yè)務(wù)服務(wù)出現(xiàn)中斷，如果攻擊者針對CDN節(jié)點(diǎn)依次發(fā)起超大流量攻擊，則會造成用戶的業(yè)務(wù)在節(jié)點(diǎn)間不停地切換(單次切換時間大約在2-5分鐘)，甚至?xí)?dǎo)致整個服務(wù)出現(xiàn)中斷。

4.共享IP無法區(qū)分具體攻擊

CDN節(jié)點(diǎn)一般都是采用共享IP段的方式來分配業(yè)務(wù)，一個IP可能會加載多個域名的業(yè)務(wù)，因此如果一個IP遭受DDoS攻擊，由于無法區(qū)分攻擊來自哪個域名業(yè)務(wù)，高防CDN廠商的一般做法是將IP相關(guān)的所有業(yè)務(wù)域名進(jìn)行回源，此種方式會導(dǎo)致攻擊流量直接牽引至源站，或者將源站暴露給攻擊者，造成源站的安全風(fēng)險(xiǎn)急劇增加。

5.支持隱藏源站

高防CDN對外暴露的是各節(jié)點(diǎn)的共享IP地址段，通過CDN節(jié)點(diǎn)IP實(shí)現(xiàn)對源站的業(yè)務(wù)轉(zhuǎn)發(fā)，攻擊者無法通過業(yè)務(wù)交互獲取真實(shí)的用戶源站，從而保障了源站的安全。

高防IP防護(hù)方案分析

高防IP防護(hù)方案(下稱高防IP)是利用在各區(qū)域建設(shè)的超大帶寬及防護(hù)能力的DDoS防護(hù)節(jié)點(diǎn)來實(shí)現(xiàn)DDoS防護(hù)的，一般來說，高防IP廠商在全國的防護(hù)節(jié)點(diǎn)數(shù)量為2-10個，單節(jié)點(diǎn)的DDoS防護(hù)能力一般在300-1000Gbps之間。

高防IP防護(hù)具備以下三個特點(diǎn)：

1.DDoS防護(hù)效果好

針對不同客戶的需求，高防IP廠商一般提供一個或者多個高防節(jié)點(diǎn)來對客戶業(yè)務(wù)進(jìn)行防護(hù)，客戶所有的流量都會收斂到高防節(jié)點(diǎn)，而網(wǎng)堤安全高防節(jié)點(diǎn)一般都具備300-1000Gbps的防護(hù)能力，只要攻擊流量小于節(jié)點(diǎn)的最大防護(hù)能力，節(jié)點(diǎn)都能輕松應(yīng)對。

2.網(wǎng)站加速能力稍弱

高防IP的節(jié)點(diǎn)一般在10個以內(nèi)，無法像高防CDN一樣，通過各省提供的CDN節(jié)點(diǎn)為網(wǎng)站加速，但是高防IP也可以提供多個大區(qū)節(jié)點(diǎn)，對業(yè)務(wù)的靜態(tài)資源進(jìn)行緩存加速及按照大區(qū)或線路進(jìn)行DNS調(diào)度，可有效減少對源站帶寬資源的使用，及實(shí)現(xiàn)按大區(qū)或線路近源訪問的能力。

3.支持隱藏源站

高防IP對外暴露的是各節(jié)點(diǎn)的獨(dú)立高防IP，通過各高防節(jié)點(diǎn)的獨(dú)立IP實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)，攻擊者無法通過業(yè)務(wù)交互獲取真實(shí)的用戶源站，從而保障了源站的安全。

兩種防護(hù)方案的比較及總結(jié)

根據(jù)上述的比較結(jié)果來看，高防CDN的DDoS防護(hù)能力弱于高防IP，但網(wǎng)站加速能力占優(yōu)，因此適用于對網(wǎng)站加速要求較高，DDoS防御要求小于100Gbps的用戶，如大型門戶網(wǎng)站等業(yè)務(wù)。而高防IP則適用于對網(wǎng)站加速要求不高，DDoS攻擊威脅不明確，且與源站有頻繁動態(tài)交互的用戶，如游戲業(yè)務(wù)、互聯(lián)網(wǎng)金融業(yè)務(wù)、小型推廣網(wǎng)站、對外業(yè)務(wù)系統(tǒng)等。

根據(jù)網(wǎng)堤安全自身防護(hù)業(yè)務(wù)攻擊情況的分析，當(dāng)前大部分的DDoS攻擊基礎(chǔ)處于300-400Gbps之間，下圖為網(wǎng)堤安全某客戶在接入一個月后的攻擊趨勢圖：

如上圖所示，該客戶在接入網(wǎng)堤平臺后顯示，每天都會遭受一到兩次的DDoS攻擊，攻擊流量大部分處于300-400Gbps之間，且攻擊都是針對IP發(fā)起的，如果高防CDN遇到此種攻擊，由于單節(jié)點(diǎn)的防護(hù)能力不足，是無法進(jìn)行有效防護(hù)的。

特別是面對超大型的DDoS攻擊，高防CDN更加顯得無能為力。如網(wǎng)堤安全的某個客戶在9月份遭受了單節(jié)點(diǎn)774.588Gbps的超大型DDoS攻擊，正是因?yàn)榫W(wǎng)堤高防IP單節(jié)點(diǎn)有1T的超強(qiáng)防御能力，才能成功實(shí)現(xiàn)了防御，確保攻擊期間該客戶的業(yè)務(wù)正常運(yùn)行，如下圖所示：

目前100Gbps以下的DDoS攻擊已經(jīng)甚少，且攻擊流量還呈不斷擴(kuò)大的趨勢，如要有效防護(hù)DDoS攻擊，單節(jié)點(diǎn)的最大防護(hù)能力最為重要，只有單點(diǎn)防護(hù)能力足夠，才能確保在遭受超大流量DDoS攻擊時業(yè)務(wù)不受任何影響。因此在現(xiàn)今DDoS攻擊的發(fā)展態(tài)勢下，用戶選擇DDoS防護(hù)方案時，建議優(yōu)先選擇網(wǎng)堤安全高防IP。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！