DDoS攻击主要是以带宽消耗为攻击特征的网络攻击手段,受到攻击的人一般难以独立防御,必须寻找第三方DDoS防护服务协助防御。 目前市场上主要有两种防护方案,一种基于CDN进行DDoS防护,简称高防CDN防护方案,另一种基于超宽带宽和超大型DDoS清洗能力的高防节点进行DDoS防护,简称高防IP防护方案。 本文对这两种方案的防护特点进行了详细的分析和比较,具体见。
一.高IP防护方案分析
高IP防护方案(以下简称高IP )利用各区域建设的超宽带和防护能力的DDoS防护节点实现DDoS防护,一般来说,高IP厂商全国防护节点数量为2-10个,单节点的DDoS防护能力一般为300-1000Gbps
高IP防护具有以下三个特点:
1、DDoS防护效果好:
根据客户的需求,高防御IP供应商通常提供一个或多个高防御节点来保护客户的业务。 客户的所有流量都将汇聚到高防御节点,但高防御节点通常具有300-1000Gbps的保护能力,如果攻击流量低于节点的最大保护能力,节点可以轻松应对。
2、网站加速能力稍弱:
高防御IP节点一般在10个以内,不能像高防御CDN那样用各省提供的CDN节点加速站点,而高防御IP提供多个区域节点,通过缓存加速业务静态资源,按区域或线路进行DNS调度,实现源站的
3、隐藏源工作站支持:
高防御IP暴露在外的是各节点的独立高防御IP,通过各高防御节点的独立IP实现业务的转发,攻击者无法通过业务交互获得实际用户的源站点,保障了源站点的安全。
二.高防CDN防护方案分析
高CDN防护方案(下文称为高CDN防护方案)利用足够多的CDN节点分布、单个CDN节点具备一定的DDoS防护能力来实现DDoS防护。 通常,高反CDN制造商的CDN节点的数量超过50个,单CDN节点的DDoS防护能力在20-100Gbps之间。
高CDN防护具备以下五个特点。
1、网站加速能力好:
CDN节点一般分布在每个省份的线路上,业务流量通过DNS智能分析进行调度,用户可以通过最优的CDN节点访问业务网站,CDN节点可以加速业务网站内的静态资源,大大减少了用户的访问延迟
2、七层防护能力好:
由于CDN节点的主要功能是进行7层的加速和转发,单个CDN节点具有一定程度的处理能力,且由于分散的节点多,在针对URL的DDoS攻击时,业务被调度到DNS,分布在各个CDN节点中,实现全向通信
3、无法防御针对性的DDoS攻击:
由于高防御CDN节点的防护能力一般在20-100Gbps之间,如果攻击者绑定HOST指定节点进行攻击或对各节点的IP发起攻击,只要攻击流量超过单个CDN节点的防护能力攻击者对CDN节点依次发起超大通信量攻击时,用户的业务在节点之间不断切换()
4、共享IP无法区分具体攻击:
由于CDN节点通常共享一个IP段来分配服务,因此一个IP可以包含多个域名服务。 因此,如果一个IP受到DDoS攻击,则CDN供应商通常会将所有与IP相关的业务域名返回给发起方,因为无法区分攻击来自哪个域名的服务。 此方法会直接将攻击流量牵引到发起方,或者发起方站点暴露在攻击者面前,从而导致发起方站点的安全风险急剧增加。
5、隐藏源工作站支持:
高防CDN暴露在外的是各节点的共享IP地址段,通过CDN节点IP实现对源站的业务转发,攻击者无法通过业务交互获得真正的用户源站,保障了源站的安全。
传统客户数据显示,高反CDN的DDoS防护能力弱于高反IP,但站点加速能力较好。 因此,适用于对网站加速要求较高、DDoS防御要求低于100Gbps的用户,如大型门户网站等业务。 而高防御IP对网站加速要求不高,DDoS攻击威胁不明确,适合游戏业务、互联网金融业务、小型推广网站、对外业务系统等与源站频繁动态交互的用户。 企业可以根据自己的需求合理选择。