选择高防IP还是高防CDN来防攻击?
DDoS攻击是以带宽消耗为主要特征的网络攻击方法,服务器被攻击后通常找不到解决办法。目前市场上主要有两种保护方案,一是基于CDN的DDoS防御,即CDN高防御方案;另一种是基于具有大带宽、大DDoS清理能力的高防御节点的DDoS防御,称为高防御IP保护方案。
那服务器遭到DDoS攻击,该选高防IP还是CDN高防来保护服务器呢?本文将对这两种方案的保护特性进行详细的分析和比较。
高防御CDN保护方案(以下简称高防御CDN)是利用足够的分布式CDN节点和具有一定DDoS保护能力的单个CDN节点来实现DDoS保护。一般来说,高防御CDN厂商的CDN节点数量在50个以上,单个CDN节点的DDoS保护能力在20-100Gbps之间。
CDN高防御具有以下五个特点:
1,网站能更好的加速:CDN节点通常根据省分布线路,业务流量一般通过智能DNS解析调度,用户可以通过优化CDN节点访问企业网站,可以对业务网站的静态资源进行加速,所以用户访问延迟将会大大减少,是很好的经验模式。
2,七层更优的防护能力:因为CDN节点的主要功能是七层的加速度和转发,所以单CDN节点有一定的处理能力,加上大量的节点分布,所以面对针对URL的DDoS攻击,流量与此同时会被DNS调度,分散到CDN节点,充分利用整个网络带宽达到有效的保护。
3,不能防御具有针对性的DDoS攻击:由于高防CDN节点保护一般是20-100 Gbps,如果攻击者绑定主机攻击指定的节点,或进行每个节点IP的轮流攻击,只要攻击流量超过单一CDN节点保护能力,会导致单CDN节点所有的业务服务中断。
如果攻击者依次攻击CDN节点并进行大流量攻击,将导致用户的业务在节点之间不断切换(单次切换时间约为2-5分钟),甚至导致整个服务中断。
共享IP无法区分特定的攻击:通常,CDN节点使用共享IP段来分配业务。一个IP可以加载多个域名业务。因此,如果一个IP受到DDoS的攻击,就不可能区分攻击来自哪个域名业务。
高防CDN提供商的惯例是回源所有IP相关业务域名,这将导致直接攻击流量源站,或公开给攻击者源站位置,造成源站的安全风险急剧增加。
支持隐藏源站:高防CDN公开的是每个节点的共享IP地址段。源站的业务转发通过CDN节点的IP实现。攻击者无法通过业务交互获取真实的用户源站,从而保证了源站的安全性。
高防IP防护方案分析
高防御IP保护方案(以下简称高防IP)是利用各区域内构建的具有超大带宽和保护能力的DDoS保护节点来实现DDoS保护。一般来说,国内高防御IP厂商数量为2-10家,单节点的DDoS保护能力一般在300-1000Gbps之间。
高防IP防护具备以下三个特点:
1,DDoS防护效果好:针对不同客户的需求,高防IP厂商一般提供一个或者多个高防节点来对客户业务进行防护,客户所有的流量都会收敛到高防节点,而高防节点一般都具备300-1000Gbps的防护能力,只要攻击流量小于节点的最大防护能力,节点都能轻松应对。
2,DDoS保护效果好:为不同客户的需求,高防IP供应商通常提供了一个或多个高防节点来保护客户,和高防节点通常是有300 - 1000 GBPS的保护能力,只要攻击流量不超过保护节点防护能力最大值,节点可以轻松应对。
3,网站对应加速能力稍弱:高防IP节点一般在10个以内,不能像高防CDN, 通过省提供的CDN节点进行网站加速,但高防IP也可以提供多个大区域节点、根据地区或对业务静态资源进行缓存加速和调度,可以有效地减少源站的带宽资源使用情况,并根据地区实现近端访问能力。
4,支持隐藏源站:高防御IP公开每个节点独立的高防御IP。通过各高防御节点的独立IP,实现业务转发。攻击者无法通过业务交互获取真实的用户源站,从而保证了源站的安全性。
根据上述比较结果,高防CDN的DDoS防护能力弱于高防IP,但网站加速能力优越于高防IP,所以CDN高防适合要求用户网站加速较高的、DDoS防御需求少于100 Gbps的用户,如大型门户网站和其他业务。而高防御IP适用于网站加速要求不高,DDoS攻击威胁不明确,且与源网站具有频繁动态互动的用户,如游戏业务、互联网金融业务、小型推广网站、对外的业务系统等。
但是目前,DDoS攻击低于100 Gbps的很少,攻击流量也有逐渐扩大的趋势,若要效防DDoS攻击,单节点的最大保护能力是最重要的,只有单点足够的保护能力,才能确保业务不受大流量的DDoS攻击。因此,在目前发展的DDoS攻击中,当用户选择DDoS保护方案时,建议先选择高防IP。