网站被攻击时如何选择好高防CDN?(什么是DDOS攻击?)
本文由世外云(www.shiwayun.com)小编为大家整理,本文主要介绍了网站被攻击时如何选择好高防CDN的相关知识,希望对你有一定的参考价值和帮助,记得关注和收藏网址哦!
1个、网站被攻击时如何选择好高防CDN?
可以使用云计算公司的反D CDN服务.很多云计算公司都有这个服务,一些CDN厂商也有这个服务.一.概述
DDoS攻击是一种以消耗带宽为特征的网络攻击。攻击者一般很难独立防御,需要找第三方DDoS防护服务来辅助防御.目前市场上主要有两种保护方案,一种是基于CDN的分布式拒绝服务防御,简称为高安全性CDN保护方案,另一种是基于具有超级带宽和超级分布式拒绝服务清理能力的高安全性节点的分布式拒绝服务防御,简称为高安全性IP保护方案。本文将详细分析和比较这两种方案的保护特点,详见下文.
二、高CDN保护方案分析
高CDN保护方案(以下简称高CDN保护)是利用足够多的CDN节点和具有一定分布式拒绝服务保护能力的单个CDN节点实现分布式拒绝服务保护。一般来说,高抗CDN厂商的CDN节点数量在50个以上,单个CDN节点的DDoS防护能力在20-100Gbps之间。
高CDN保护有以下五个特点:
良好的网站加速能力:cdn节点一般按省、线分布,业务流量一般通过dns智能解析调度,用户可以通过最好的cdn节点访问业务网站,cdn节点可以加速业务网站中的静态资源,因此用户的访问延迟会大大降低,体验会更好。
七层保护能力好:由于CDN节点的主要功能是七层的提速转发,每个CDN节点都有一定的处理能力,分布式节点较多。所以当DDoS攻击url时,流量会被dns调度,分散到各个CDN节点,充分利用全网的带宽,达到有效的防护。
无法防御针对性分布式拒绝服务攻击:由于高防御CDN节点的防护能力一般在20-100Gbps之间,如果攻击者绑定主机指定一个节点进行攻击,或者攻击每个节点s IP反过来,只要攻击流量超过单个CDN节点的保护能力,单个CDN节点的所有业务服务都会中断;如果攻击者依次对CDN节点发起超大流量攻击,用户s的业务会在节点间不断切换(单次切换时间约为2-5分钟)。
共享IP Can t区分具体攻击:cdn节点一般共享IP段分发服务,一个IP可能加载多个域名的服务。因此,如果一个IP受到DDoS攻击,由于无法区分攻击来自于哪些域名服务,高防CDN厂商的普遍做法是将所有与IP相关的服务域名返回到源头,这将导致攻击流量被直接拖到源站或者源站暴露给攻击者,导致源站安全风险剧增。支持隐藏源站:高安全性的CDN暴露了各节点的共享IP地址段,通过CDN节点IP实现向源站的业务转发,使得攻击者无法通过业务交互获得真实的用户源站,从而保证了源站的安全性。
第三,分析高IP保护方案
高IP保护方案(以下简称高IP保护方案)是利用各个区域内置的具有超强带宽和保护能力的DDoS保护节点来实现DDoS保护。一般来说,国内高IP防护节点数量为2-10个,单个节点的DDoS防护能力一般在300-1000Gbps之间。
高IP保护有以下三个特点:
DDoS防护效果好:高安全性IP厂商根据不同客户的需求,一般会提供一个或多个高安全性节点来保护客户服务。客户的所有流量都将汇聚到高安全性节点,高安全性节点一般具有300-1000Gbps的防护能力。只要攻击流量小于节点的最大保护能力,节点就可以轻松应对.
网站加速能力略弱:高IP保护的节点数量一般在10个以内,无法像高IP保护的CDN节点一样,通过各省提供的CDN节点对网站进行加速。但高IP保护也可以提供多个区域节点,有效减少源站带宽资源的使用,实现按区域或线路近源接入的能力。
支持隐藏源站:高安全性IP暴露各节点独立的高安全性IP。通过各高安全性节点的独立IP实现业务转发,攻击者无法通过业务交互获得真实用户源站,保证了源站的安全性。
四.两种保护方案的比较与总结
根据以上对比结果,高防CDN的DDoS防护能力弱于高防IP、但网站加速能力更胜一筹,适用于对网站加速要求较高、DDoS防御要求低于100Gbps的用户,如大型门户网站等业务而高IP防护则适合对网站加速要求不高、DDoS攻击威胁不明确、与源站动态交互频繁的用户,如游戏业务、互联网金融业务、小型推广网站、外部业务系统等。
根据网络堤防安全自保护业务攻击分析,目前大部分DDoS攻击都是基于300-400 Gbps。下图显示了一个月之后某网堤安全客户的攻击趋势的访问:
如上图所示,客户接入Dike平台后,显示每天会遭受一到两次DDoS攻击,攻击流量大多在300-400Gbps之间,攻击都是针对IP的。如果高安全性的CDN遇到这种攻击,由于单个节点的保护能力不足,无法得到有效保护.
尤其是面对超大型分布式拒绝服务攻击,高安全性的CDN更是为力。例如,在9月,迪科安全的一个客户遭受了774.588Gbps的单个节点。DDoS攻击,正是因为网堤的高安全性IP的单个节点具有1T的超强防御能力,才能成功实现防御,保证客户的正常运行攻击期间的业务,如下图所示:
目前100Gbps以下的DDoS攻击很少,而且攻击流量还在不断扩大。如果要有效防护DDoS攻击,单个节点的最大防护能力是最重要的.只有单点防护能力足够,才能保证在发生巨大流量DDoS攻击时,业务不会受到影响.因此,随着DDoS攻击的发展趋势,建议用户在选择DDoS防护方案时优先考虑高防御IP。
2个、什么是DDOS攻击?
DDoS攻击分为两种:要么大数据大流量压倒网络设备和服务器,要么故意制造大量无法完成的不完整请求快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法区分攻击包和合法包:典型的“签名和签名入侵检测系统的模式匹配.;不能发挥有效的作用;很多攻击利用源IP地址欺骗来逃避源识别,很难搜索到具体的攻击源。●攻击基本有两种:带宽攻击:这种攻击消耗网络带宽,或者用大量数据包淹没一个或多个路由器、服务器和防火墙;常见的带宽攻击形式是大量看似合法的ICMP、udp或Internet控制消息协议被传输到特定的目的地;为了增加检测难度,这类攻击往往采用源地址欺骗,并不断变换.●应用攻击:利用tcp、http等协议定义的行为,持续占用计算资源,阻止其处理正常的事务和请求。HTTP半开和http错误是应用程序攻击的两个典型例子。
4个、与DDOS的区别?
DDoS全名:DDoS ECHO 4-@.com分布式拒绝服务(DDoS ECHO 4-@.com分布式拒绝服务)这种攻击利用目标系统的网络服务功能缺陷或者直接消耗其系统资源,使目标系统无法提供正常服务.
拒绝服务攻击一直没有得到合理的解决,仍然是一个世界性的难题.究其原因,是网络协议本身的安全缺陷造成的.
DDoS攻击攻击网站的服务器,CC攻击网站的页面。
抄送
全称:ChallengeColapsar,中文意思是挑战一个黑洞,因为之前抵抗DDoS攻击的安全设备都叫黑洞。顾名思义,挑战黑洞意味着黑洞可以我受不了这种攻击.新一代抗DDoS设备已经改名为ADS(反DDoS系统),基本可以完美抵御cc攻击.
CC攻击的原理是模拟多个用户通过代理服务器或大量肉鸡访问目标网站的动态页面,产生大量后台数据库查询动作,消耗目标中央处理器资源,造成拒绝服务。
与DDOS不同、CC可以被硬件防火墙过滤、CC攻击本身是正常请求。建议中小型网站采用静态页面,减少与数据库的交互,消耗的cpu更少。
从上面的分析可以看出,ddos攻击和cc攻击的区别主要是针对对象的不同.DDoS是一种主要针对IP的攻击,CC攻击的主要是网页。CC相对来说,攻击的伤害不是毁灭性的,但是持续时间长;DDoS攻击是流量攻击,危害很大。通过向目标服务器发送大量的数据包,耗尽其带宽,来防御它是更加困难的.
了解了ddos攻击和cc攻击的区别和原理之后,剩下的就是防御了.要知道,要防止一个网站被攻击是不可能的,但是我们通常可以采取一些防护措施来防止或者减少其造成的危害.如果网站很小,自我防御能力很弱,资金投入不多,那么选择ddos.cc是最好的选择。