cdn高防，面对猖狂的ddos，真的没有办法了吗

面对日益复杂的DDoS攻击环境快速备案快速备案，现阶段CDN扮演的角色准确的说更像是一块安全防御盾牌cdn高防！cdn高防，面对猖狂的ddos，真的没有办法了吗首先关于什么是DDoS攻击？DDoS 里面的 DoS 是 denial of service（停止服务）的缩写，表示这种攻击的目的，就是使得服务中断。最前面的那个 D 是 distributed （分布式），表示攻击不是来自一个地方，而是来自四面八方，因此更难防。你关了前门，他从后门进来；你关了后门，他从窗口跳进来。这里再引用一个比较通俗的解释：我开了一家餐厅，正常情况下，最多可以容纳30人同时进餐。你直接走进餐厅，找一张桌子坐下点餐，马上就可以吃到东西。但是很不幸，我得罪了一个流氓，他派出300个人同时涌进我的餐厅。这些人看上去跟正常的顾客一样，每个都说”赶快上餐”。但是，餐厅的容量只有30个人，根本不可能同时满足这么多的点餐需求。加上他们把门口都堵死了，里三层外三层，正常用餐的客人根本进不来，实际上就把餐厅瘫痪了。这其实就是 DDoS 攻击，在短时间内发起大量请求，耗尽服务器的资源，无法响应正常的访问，造成网站实质下线。CDN 面对DDoS能够做什么？关于CDN各位应该都不陌生，CDN拥有最强大的宽带，单个节点承受能力强，能够有效的针对网站进行突发情况流量管理，预防存在流量以及数量增加等相关状况出现。CDN已经从过去的网页缓存、网页动态加速的功能到如今兼具着保护网站不被攻击的使命和责任。具体而言，CDN在相关节点中成功建立动态加速机制以及智能沉于等机制，这种机制能够帮助网站流量访问分配到每一个节点中，智能的进行流量分配机制。一旦遇到CDN存在被DDoS攻击的情况，CDN整个系统就能够将被攻击的流量分散开，节省了站点服务器的压力以及节点压力。同时，CDN还能够增强网站被黑客给攻击的难度，从而实现降低DDoS攻击对网站带来的危害。其实一般情况下CDN是缓解DDoS的攻击，一般CDN会在各个省市分配一些IP地址，再通过智能DNS的方式在每个省市解析出最近的IP地址。攻击者一看你的网站IP地址这么多，通常便会放弃攻击。案例分享：参阅自：GitHub遭受有史以来最严重DDoS攻击北京时间2018年3月1日1点15分，知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击，峰值流量达到了1.35Tbps，最后是依靠某CDN服务商防御化解了此次危机。不过，想要彻底解决或者避免DDoS的攻击目前看并不太现实。无论是一般CDN作为防御方案的选择，还是其他防御措施的补强，对于90%的攻击是可以安全保障的。但是，随着越来越复杂的新型攻击方式，企业也需要根据自身的行业情况和环境做好自身的安全部署和增强，尤其是DDoS攻击的重灾区：游戏行业。为何DDoS难杜绝？TCP/IP协议的天生自带的坑DDoS攻击最大的特点，是通过集中控制海量「肉鸡」，同时向目标发起攻击。DDoS攻击实际上就就是攻击者在挑战网站的带宽和资源。这种攻击并不是利用网站自身的特定漏洞去完成，而是利用TCP/IP协议的天生缺陷。只要互联网用的还是TCP协议，那么DDoS攻击就不会消亡。因为难溯源，所以攻击者便更加有似无恐DDoS从攻击指令发出端，到实际攻击的服务器，中间可能经过了数道跳转，再加上IP伪造等技术，查到攻击源头非常困难。想做到溯源追凶，需要投入极高的成本，并且需要经验丰富的攻防专家或团队来完成，对于绝大多数企业都无能为力也不会选择这样做。白菜价成本，黄金价回报，DDoS已经形成了一条成熟的灰色产业链DDoS伴随着中国互联网发展的也在不断的进行着自我的进化和升级，这其中就包括了这条黑产的上下游的不断完善，已然呈现出智能化、平台化、产业化的特征，分工鲜明、成本廉价、利益巨大。以往如果想要DDoS发起攻击，攻击者需要具备一定的黑客技能，如今伴随着智能化攻击平台的出现，攻击方并不需要多么高深的专业黑客知识，只需要轻点鼠标即可发起攻击，而且此类攻击占比近7成。此外，随着木马等的恶意泛滥使得「肉鸡」的数量呈爆发式增长，黑客发起DDoS攻击的成本实际上随着时间的推移是越来越低。此外，由于个人和企业的带宽使用规模的逐年增加，智能家居和物联网设备的大量使用，薄弱的安全防护能力给了攻击者更多可利用的机会，更容易形成大规模的攻击设备集群。简单来说，对于企业而言，需要结合自身的环境和情况，做好DDOS的防御工作，把损失和风险降到最小！DDOS攻击全称分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上，代理程序收到指令时就发动攻击。 随着网络技术发展，DDOS攻击也在不断进化，攻击成本越来越低，而攻击力度却成倍加大，使得DDOS更加难以防范。一般来说，会根据不同的协议类型和攻击模式，将DDOS分为SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、、ICMP Flood、CC等攻击类型。每种类型的攻击都有其自身的特点，例如反射型DDoS攻击就是一种相对高阶的攻击方式。攻击者并不直接攻击目标服务IP，而是通过伪造被攻击者的IP向全球特殊的服务器发请求报文，这些特殊的服务器会将数倍于请求报文的数据包发送到那个被攻击的IP。DDoS攻击是间接形成的。实际上，攻击者使用更多的木偶机器进行攻击。他们不直接将攻击包发送给受害者，而是假装是受害者，然后将包发送给放大器，放大器随后通过放大器反射回受害者。 DDOS攻击让人望而生畏，它可以直接导致网站宕机、服务器瘫痪，对网站乃至企业造成严重损失。而且DDOS很难防范，可以说目前没有根治之法，只能尽量提升自身“抗压能力”来缓解攻击，比如购买高防服务。面对DDOS攻击，应该从网络设施、防御方案、预防手段三个方面进行抵御一．网络设备设施用足够的机器、容量去承受攻击，充分利用网络设备保护网络资源是一种较为理想的应对策略，说到底攻防也是双方资源的比拼。实际上，攻击者会不断访问用户、夺取用户资源，我们自己的能量也在逐渐耗失。如果完全的硬拼设施，投入资金也不小。网络设施是一切防御的基础，所以需要根据自身情况做出平衡的选择。1. 扩充带宽硬抗网络带宽直接决定了承受攻击的能力，国内大部分网站带宽规模在10M到100M，知名企业带宽能超过1G，超过100G的基本是专门做带宽服务和抗攻击服务的网站，数量屈指可数。DDoS攻击者可以通过控制一些服务器、个人电脑等成为肉鸡。如果控制1000台机器，每台带宽为10M，那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击，带宽瞬间就被占满了。增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了。但带宽成本也是难以承受之痛，所以很少有人愿意花高价买大带宽做防御。2. 使用硬件防火墙针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量型DDoS攻击。如果网站饱受流量攻击的困扰，可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围（如：200G的硬防，但攻击流量有300G），硬件防火墙同样抵挡不住。部分硬件防火墙基于包过滤型防火墙修改为主，只在网络层检查数据包，若是DDoS攻击上升到应用层，防御能力就比较弱了。 3. 选用高性能设备除了防火墙，服务器、路由器、交换机等网络设备的性能也需要跟上，若是设备性能成为瓶颈，即使带宽充足也无能为力。在有网络带宽保证的前提下，应该尽量提升硬件配置。二、有效的对抗DDOS思维及方案通过架构布局、整合资源等方式提高网络的负载能力来分摊局部过载的流量，通过接入第三方服务识别并拦截恶意流量等对抗效果较好（相对比与提升带宽和使用硬件防火墙，当然组合效果更佳）。1. 负载均衡普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求，网络处理能力很受限制。负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。在加上负载均衡方案后，链接请求被均衡分配到各个服务器上，减少单个服务器的负担，整个服务器系统可以处理每秒上千万甚至更多的服务请求，用户访问速度也会加快。 2. CDN流量清洗CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。3. 分布式集群防御分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。 三．预防为主DDoS的发生可能永远都无法预知，而一来就凶猛如洪水决堤，因此预防措施和应急预案就显得尤为重要。通过日常习惯性的运维操作让系统健壮稳固，没有漏洞可钻，降低脆弱服务被攻陷的可能，将攻击带来的损失降低到最小。1. 筛查系统漏洞及早发现系统存在的攻击漏洞，及时安装系统补丁，对重要信息（如系统配置信息）建立和完善备份机制，对一些特权账号（如管理员账号）的密码谨慎设置，通过一系列的举措可以把攻击者的可乘之机降低到最小。 2. 系统资源优化合理优化系统，避免系统资源的浪费，尽可能减少计算机执行少的进程，更改工作模式，删除不必要的中断让机器运行更有效，优化文件位置使数据读写更快，空出更多的系统资源供用户支配，以及减少不必要的系统加载项及自启动项，提高web服务器的负载能力。3. 过滤不必要的服务和端口禁止未用的服务，将开放端口的数量最小化十分重要。端口过滤模块通过开放或关闭一些端口，允许用户使用或禁止使用部分服务，对数据包进行过滤，分析端口，判断是否为允许数据通信的端口，然后做相应的处理。4. 限制特定的流量检查访问来源并做适当的限制，以防止异常、恶意的流量来袭，限制特定的流量，主动保护网站安全。目前，DDOS攻击并没有最好的根治之法，做不到彻底防御，只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障，并借鉴上述方案，将DDOS攻击带来的损失尽量降低到最小。以上个人浅见，欢迎批评指正。喜欢的可以关注我，谢谢！认同我的看法的请点个赞再走，再次感谢！