高防服务器和CDN防御的区别
只要做过网站的人应该都知道,ddos攻击是非常可怕的,因为这种攻击本质上不能被防御的,或者说DDoS攻击只能被缓解,不能被完全消除。DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,是一种恶意的资源占用行为。攻击者利用非法控制的机器或者攻击软件对目标网站所在的服务器发送大量的无效请求,使服务器的资源被大量的占用,从而导致正常用户的服务请求无法处理,网站打开缓慢或者停止网络服务。
当下主要的防御DDoS攻击的方式有两种:一种是使用高防服务器,还有一种是使用高防CDN,两种方式各有优缺点,下面就详细来说一下。
高防服务器主要是指独立单个硬防防御50G以上的服务器,可以为单个客户提供安全维护,总体来看属于服务器的一种。现阶段高防服务器主要通过定期扫描现有的网络节点、在骨干节点配置防火墙、查找可能存在的安全漏洞、用足够的机器承受黑客攻击、充分利用网络设备保护网络资源、过滤不必要的服务和端口等方式来防御DDoS攻击。
高防服务器采用单机防御或者集群防御,攻击直接打在源服务器上的。一般来说称得上高防的机房,必须拥有足够大的带宽资源,硬件防火墙设施起码在10G以上,才能承受大的攻击。目前国内高防多以电信为主,有规模的电信机房出口带宽最少40G,由于出口带宽冗余多,可扩展性大,因此防护能力较高,因此在选择高防的时候,最好锁定在电信线路。不过,要真正做好高防,仅靠硬防显然是不够的,实力强的机房都会在硬防上做策略以应对不同种类的攻击,这就不是仅凭一个普通硬件防火墙就能解决的,必须是要通过安全防护策略才能有效。如果防御策略不到位的话,攻击还是会导致服务器的带宽 CPU 内存使用率过高,进而直接影响到源站,造成服务中断等问题。
CDN防御的全称是Content Delivery Network Defense,即内容分流网络流量防御。高防CDN的原理就是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,而不用直接访问网站源服务器。简单的说,就是架设多个高防CDN节点以解决访问并发量高的问题,减轻网站服务器的压力,同时还可以隐藏网站源IP。当有网站受到攻击时,会因为找不到源站IP而无法直接攻击到源服务器,而是打到不同的CDN节点上,由很多节点共同承受。但CDN防御必须通过修改DNS实现,而DNS配置的生效时间不可控,因此流量转发会存在一定延迟,还可能受到用户Local DNS的影响,这样一来,也会导致访问过慢或找不到资源的情况出现,稳定性难以保障。