可以用云计算公司的反dcdn服务,很多云计算公司和一些cdn厂商都有。
一.概述
ddos攻击是一种以消耗带宽为特征的网络攻击,被攻击人一般很难独立防御,因此需要寻找第三方ddos防护服务来辅助防御。目前市场上主要有两种防护方案,一种是基于cdn的ddos防御,简称高防cdn防护方案,另一种是基于超大带宽、超大ddos清理能力的高防节点的ddos防御,简称高防ip防护方案。本文将对这两种方案的保护特性进行详细的分析和比较,如下图所示。
二、cdn高防保护方案分析
高防cdn保护方案(以下简称高防cdn)使用足够的cdn节点和单个cdn节点实现ddos保护。一般来说,高安全性cdn厂商的cdn节点数量在50个以上,单个cdn节点的ddos防护能力在20-100gbps之间。
高防cdn保护有以下五个特点:
网站具有良好的加速能力:cdn节点一般按省、线分布,业务流量一般通过dns智能分析调度。用户可以通过最优的cdn节点访问商务网站,cdn节点可以加速商务网站中的静态资源,因此用户的访问延迟会大大降低,体验会更好。
七层防护能力好:由于cdn节点的主要功能是七层加速转发,所有单个cdn节点都有一定的处理能力,分布式节点较多,所以当针对url进行ddos攻击时,流量会由dns进行调度,分配到所有cdn节点,充分利用全网带宽,实现有效防护。
无法防御针对性的ddos攻击:由于高安全性cdn节点的防护能力一般在20和20-100gbps之间,如果攻击者绑定主机指定一个节点进行攻击,或者依次攻击各个节点的ip,只要攻击流量超过单个cdn节点的防护能力,单个cdn节点的所有业务服务都会中断。如果攻击者依次攻击cdn节点,用户的业务会在节点间不断切换(单次切换时间约为2-5分钟)。
共享ipcant区分具体攻击:cdn节点一般通过共享ip段的分发服务,一个ip可能承载多个域名的服务。因此,如果一个ip受到ddos攻击,由于无法区分攻击来自哪个域名服务,cdn厂商普遍的做法是将与ip相关的业务域名全部退回源头,这将导致攻击流量直接流向源站,或者将源站暴露给攻击者,导致源站安全风险剧增。支持隐藏源站:高安全性的cdn暴露了各节点的共享ip地址段,通过cdn节点ip实现向源站的业务转发,因此攻击者无法通过业务交互获得真实的用户源站,从而保证了源站的安全性。
第三,针对高安全性的ip保护方案分析
高防ip保护方案(以下简称高防ip)是利用构建在各个区域的具有超强带宽和保护能力的ddos保护节点来实现ddos保护。一般来说,国内高防ip厂商的防护节点数量在2-10个,单个节点的ddos防护能力一般在300-1000gbps之间。
高ip保护有以下三个特点:
ddos防护效果好:根据不同客户的需求,高安全性ip厂商一般会提供一个或多个高安全性节点来保护客户服务,以及所有客户流量会汇聚到高安全性的节点,这些节点一般具有300-1000gbps的防护能力,所以只要攻击流量小于节点的最大防护能力,节点就可以轻松应对。
网站加速能力略弱:ip保护高的节点一般在10个以内,无法像ip保护高的cdn一样通过各省提供的cdn节点对网站进行加速。而高ip保护还可以提供多个大面积节点,缓存和加速服务的静态资源并按区域或线路进行dns调度,可以有效减少源站带宽资源的使用,实现按区域或线路近源访问的能力。
支持隐藏源站:高安全性ip暴露各节点独立的高安全性ip,通过各高安全性节点的独立ip实现业务转发,因此攻击者无法通过业务交互获得真实用户源站,从而保证了源站的安全性。
四。两种保护方案的比较与总结
根据以上对比结果,高防cdn的ddos防护能力弱于高防ip,但网站加速能力更胜一筹,适用于对网站加速要求高,ddos防御要求小于100gbps的用户,如大型门户等业务。高ip防护适用于对网站加速要求不高、ddos攻击威胁不明确、与源站动态交互频繁的用户,如游戏业务、互联网金融业务、小型推广网站、国外业务系统等。
根据对网银安全自保业务的攻击分析,目前的ddos攻击大多基于300-400gbps。下图是网银安全某客户在接入一个月后的攻击趋势:
如上图所示,客户接入网迪科平台后,显示每天都会遭受一到两次ddos攻击,大部分攻击流量在300-400gbps之间,攻击都是针对ip的。如果防御高的cdn遇到这种攻击,由于单个节点的保护能力不足,无法得到有效保护。
尤其是面对超大型ddos攻击,高防cdn更是为力。例如,在9月份,netdikesecurity的一个客户遭受了774.588gbps的单个节点。i类ddos攻击,正是因为网关高防御ip的单个节点具备1t超强防御能力,才能成功实现防御,保证客户的正常运行攻击期间的业务,如下图所示:
目前100gbps以下的ddos攻击很少,而且攻击流量还在不断扩大。如果想要有效防御ddos攻击,单个节点的最大防护能力是最重要的。只有单点防护能力足够,才能保证业务在受到大量ddos攻击时不会受到影响。因此,在当前ddos攻击的发展趋势下,用户在选择ddos防护方案时,建议优先选择高防御ip。
解决方案如下:
1.重启网络设备,确保路由器不会被数据淹没。
2.如果您使用的是无线网络,请优化网络连接以消除连接问题。
3.ip释放、更新和清除dns以解决任何网络。
4.更新或临时卸载安全程序,这些程序可能会错误地将登录模块识别为安全威胁。
5.关闭后台应用,解决软件,释放资源。
6.更新驱动程序和操作系统以解决任何兼容性问题。
