访问的url对网站有威胁怎么解除 网站被攻击时如何选择好高防CDN?

[更新]
·
·
分类:互联网
4154 阅读

访问的url对网站有威胁怎么解除

访问的url对网站有威胁怎么解除 网站被攻击时如何选择好高防CDN?

网站被攻击时如何选择好高防CDN?

网站被攻击时如何选择好高防CDN?

可以用云计算公司的反D CDN服务,很多云计算公司和一些CDN厂商都有。

一.概述

DDoS攻击是一种以消耗带宽为特征的网络攻击,被攻击人一般很难独立防御,因此需要寻找第三方DDoS防护服务来辅助防御。目前市场上主要有两种防护方案,一种是基于CDN的DDoS防御,简称高防CDN防护方案,另一种是基于超大带宽、超大DDoS清理能力的高防节点的DDoS防御,简称高防IP防护方案。本文将对这两种方案的保护特性进行详细的分析和比较,如下图所示。

二、CDN高防保护方案分析

高防CDN保护方案(以下简称高防CDN)使用足够的CDN节点和单个CDN节点实现DDoS保护。一般来说,高安全性CDN厂商的CDN节点数量在50个以上,单个CDN节点的DDoS防护能力在20-100Gbps之间。

高防CDN保护有以下五个特点:

网站具有良好的加速能力:CDN节点一般按省、线分布,业务流量一般通过DNS智能分析调度。用户可以通过最优的CDN节点访问商务网站,CDN节点可以加速商务网站中的静态资源,因此用户 的访问延迟会大大降低,体验会更好。

七层防护能力好:由于CDN节点的主要功能是七层加速转发,所有单个CDN节点都有一定的处理能力,分布式节点较多,所以当针对URL进行DDoS攻击时,流量会由DNS进行调度,分配到所有CDN节点,充分利用全网带宽,实现有效防护。

无法防御针对性的DDoS攻击:由于高安全性CDN节点的防护能力一般在20-100Gbps之间,如果攻击者绑定主机指定一个节点进行攻击,或者依次攻击各个节点的IP,只要攻击流量超过单个CDN节点的防护能力,单个CDN节点的所有业务服务都会中断。如果攻击者依次攻击CDN节点,用户 的业务会在节点间不断切换(单次切换时间约为2-5分钟)。

共享IP can t区分具体攻击:CDN节点一般通过共享IP段的分发服务,一个IP可能承载多个域名的服务。因此,如果一个IP受到DDoS攻击,由于无法区分攻击来自哪个域名服务,CDN厂商普遍的做法是将与IP相关的业务域名全部退回源头,这将导致攻击流量直接流向源站,或者将源站暴露给攻击者,导致源站安全风险剧增。支持隐藏源站:高安全性的CDN暴露了各节点的共享IP地址段,通过CDN节点IP实现向源站的业务转发,因此攻击者无法通过业务交互获得真实的用户源站,从而保证了源站的安全性。

第三,针对高安全性的IP保护方案分析

高防IP保护方案(以下简称高防IP)是利用构建在各个区域的具有超强带宽和保护能力的DDoS保护节点来实现DDoS保护。一般来说,国内高防IP厂商的防护节点数量在2-10个,单个节点的DDoS防护能力一般在300-1000Gbps之间。

高IP保护有以下三个特点:

DDoS防护效果好:根据不同客户的需求,高安全性IP厂商一般会提供一个或多个高安全性节点来保护客户 服务,以及所有客户 流量会汇聚到高安全性的节点,这些节点一般具有300-1000Gbps的防护能力,所以只要攻击流量小于节点的最大防护能力,节点就可以轻松应对。

网站加速能力略弱:IP保护高的节点一般在10个以内,无法像IP保护高的CDN一样通过各省提供的CDN节点对网站进行加速。而高IP保护还可以提供多个大面积节点,缓存和加速服务的静态资源并按区域或线路进行DNS调度,可以有效减少源站带宽资源的使用,实现按区域或线路近源访问的能力。

支持隐藏源站:高安全性IP暴露各节点独立的高安全性IP,通过各高安全性节点的独立IP实现业务转发,因此攻击者无法通过业务交互获得真实用户源站,从而保证了源站的安全性。

四。两种保护方案的比较与总结

根据以上对比结果,高防CDN的DDoS防护能力弱于高防IP,但网站加速能力更胜一筹,适用于对网站加速要求高,DDoS防御要求小于100Gbps的用户,如大型门户等业务。高IP防护适用于对网站加速要求不高、DDoS攻击威胁不明确、与源站动态交互频繁的用户,如游戏业务、互联网金融业务、小型推广网站、国外业务系统等。

根据对网银安全自保业务的攻击分析,目前的DDoS攻击大多基于300-400Gbps。下图是网银安全某客户在接入一个月后的攻击趋势:

如上图所示,客户接入网迪科平台后,显示每天都会遭受一到两次DDoS攻击,大部分攻击流量在300-400 Gbps之间,攻击都是针对IP的。如果防御高的CDN遇到这种攻击,由于单个节点的保护能力不足,无法得到有效保护。

尤其是面对超大型DDoS攻击,高防CDN更是为力。例如,在9月份,Netdike Security的一个客户遭受了774.588Gbps的单个节点。I类DDoS攻击,正是因为网关高防御IP的单个节点具备1T超强防御能力,才能成功实现防御,保证客户的正常运行 攻击期间的业务,如下图所示:

目前100Gbps以下的DDoS攻击很少,而且攻击流量还在不断扩大。如果想要有效防御DDoS攻击,单个节点的最大防护能力是最重要的。只有单点防护能力足够,才能保证业务在受到大量DDoS攻击时不会受到影响。因此,在当前DDoS攻击的发展趋势下,用户在选择DDoS防护方案时,建议优先选择高防御IP。