DDoS攻擊是主要以帶寬消耗為攻擊特征的網(wǎng)絡攻擊手段,受攻擊者一般很難獨立防御,必須尋找第三方的DDoS防護服務來協(xié)助防御。目前市場上主要有兩種防護方案,一種是基于CDN進行DDoS防御,簡稱高防CDN防護方案,另外一種是基于超大帶寬及超大DDoS清洗能力的高防節(jié)點進行DDoS防御,簡稱高防IP防護方案。本文將對這兩種方案的防護特點進行詳細的分析及比較。
高防CDN防護方案分析
高防CDN防護方案(下稱高防CDN)是利用分布足夠多的CDN節(jié)點以及單CDN節(jié)點都具備一定的DDoS防護能力來實現(xiàn)DDoS防護的。一般來說,高防CDN廠商的CDN節(jié)點數(shù)量都大于50個,單CDN節(jié)點的DDoS防護能力都在20-100Gbps之間。
高防CDN防護具備以下五個特點:
1.網(wǎng)站加速能力較好
CDN節(jié)點一般會按省份按線路進行分布,業(yè)務流量一般會通過DNS智能解析來進行調(diào)度,用戶可以通過最優(yōu)的CDN節(jié)點來訪問業(yè)務網(wǎng)站,CDN節(jié)點可以對業(yè)務網(wǎng)站中的靜態(tài)資源進行加速,因此用戶的訪問時延會大大降低,體驗會比較好。
2.七層防護能力較好
由于CDN節(jié)點的主要功能就是進行七層的加速及轉(zhuǎn)發(fā),所以單CDN節(jié)點都有一定的處理能力,加上分布的節(jié)點很多,因此在針對URL的DDoS攻擊時,流量會被DNS調(diào)度,分散到各個CDN節(jié)點,充分利用全網(wǎng)帶寬實現(xiàn)有效的防護。
3.無法防御針對性的DDoS攻擊
由于高防CDN節(jié)點的防護能力一般在20-100Gbps之間,如果攻擊者綁定HOST來指定節(jié)點進行攻擊,或者針對各節(jié)點IP輪流發(fā)起攻擊,只要攻擊流量超過單CDN節(jié)點的防護能力,則會造成單CDN節(jié)點所有業(yè)務服務出現(xiàn)中斷,如果攻擊者針對CDN節(jié)點依次發(fā)起超大流量攻擊,則會造成用戶的業(yè)務在節(jié)點間不停地切換(單次切換時間大約在2-5分鐘),甚至會導致整個服務出現(xiàn)中斷。
4.共享IP無法區(qū)分具體攻擊
CDN節(jié)點一般都是采用共享IP段的方式來分配業(yè)務,一個IP可能會加載多個域名的業(yè)務,因此如果一個IP遭受DDoS攻擊,由于無法區(qū)分攻擊來自哪個域名業(yè)務,高防CDN廠商的一般做法是將IP相關的所有業(yè)務域名進行回源,此種方式會導致攻擊流量直接牽引至源站,或者將源站暴露給攻擊者,造成源站的安全風險急劇增加。
5.支持隱藏源站
高防CDN對外暴露的是各節(jié)點的共享IP地址段,通過CDN節(jié)點IP實現(xiàn)對源站的業(yè)務轉(zhuǎn)發(fā),攻擊者無法通過業(yè)務交互獲取真實的用戶源站,從而保障了源站的安全。
高防IP防護方案分析
高防IP防護方案(下稱高防IP)是利用在各區(qū)域建設的超大帶寬及防護能力的DDoS防護節(jié)點來實現(xiàn)DDoS防護的,一般來說,高防IP廠商在全國的防護節(jié)點數(shù)量為2-10個,單節(jié)點的DDoS防護能力一般在300-1000Gbps之間。
高防IP防護具備以下三個特點:
1.DDoS防護效果好
針對不同客戶的需求,高防IP廠商一般提供一個或者多個高防節(jié)點來對客戶業(yè)務進行防護,客戶所有的流量都會收斂到高防節(jié)點,而網(wǎng)堤安全高防節(jié)點一般都具備300-1000Gbps的防護能力,只要攻擊流量小于節(jié)點的最大防護能力,節(jié)點都能輕松應對。
2.網(wǎng)站加速能力稍弱
高防IP的節(jié)點一般在10個以內(nèi),無法像高防CDN一樣,通過各省提供的CDN節(jié)點為網(wǎng)站加速,但是高防IP也可以提供多個大區(qū)節(jié)點,對業(yè)務的靜態(tài)資源進行緩存加速及按照大區(qū)或線路進行DNS調(diào)度,可有效減少對源站帶寬資源的使用,及實現(xiàn)按大區(qū)或線路近源訪問的能力。
3.支持隱藏源站
高防IP對外暴露的是各節(jié)點的獨立高防IP,通過各高防節(jié)點的獨立IP實現(xiàn)業(yè)務轉(zhuǎn)發(fā),攻擊者無法通過業(yè)務交互獲取真實的用戶源站,從而保障了源站的安全。
兩種防護方案的比較及總結(jié)
根據(jù)上述的比較結(jié)果來看,高防CDN的DDoS防護能力弱于高防IP,但網(wǎng)站加速能力占優(yōu),因此適用于對網(wǎng)站加速要求較高,DDoS防御要求小于100Gbps的用戶,如大型門戶網(wǎng)站等業(yè)務。而高防IP則適用于對網(wǎng)站加速要求不高,DDoS攻擊威脅不明確,且與源站有頻繁動態(tài)交互的用戶,如游戲業(yè)務、互聯(lián)網(wǎng)金融業(yè)務、小型推廣網(wǎng)站、對外業(yè)務系統(tǒng)等。
根據(jù)網(wǎng)堤安全自身防護業(yè)務攻擊情況的分析,當前大部分的DDoS攻擊基礎處于300-400Gbps之間,下圖為網(wǎng)堤安全某客戶在接入一個月后的攻擊趨勢圖:
如上圖所示,該客戶在接入網(wǎng)堤平臺后顯示,每天都會遭受一到兩次的DDoS攻擊,攻擊流量大部分處于300-400Gbps之間,且攻擊都是針對IP發(fā)起的,如果高防CDN遇到此種攻擊,由于單節(jié)點的防護能力不足,是無法進行有效防護的。
特別是面對超大型的DDoS攻擊,高防CDN更加顯得無能為力。如網(wǎng)堤安全的某個客戶在9月份遭受了單節(jié)點774.588Gbps的超大型DDoS攻擊,正是因為網(wǎng)堤高防IP單節(jié)點有1T的超強防御能力,才能成功實現(xiàn)了防御,確保攻擊期間該客戶的業(yè)務正常運行,如下圖所示:
目前100Gbps以下的DDoS攻擊已經(jīng)甚少,且攻擊流量還呈不斷擴大的趨勢,如要有效防護DDoS攻擊,單節(jié)點的最大防護能力最為重要,只有單點防護能力足夠,才能確保在遭受超大流量DDoS攻擊時業(yè)務不受任何影響。因此在現(xiàn)今DDoS攻擊的發(fā)展態(tài)勢下,用戶選擇DDoS防護方案時,建議優(yōu)先選擇網(wǎng)堤安全高防IP。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!