【推荐】海外独服/站群服务器/高防

DDoS攻击是主要以带宽消耗为攻击特征的网络攻击手段，受攻击者一般很难独立防御，必须寻找第三方的DDoS防护服务来协助防御。目前市场上主要有两种防护方案，一种是基于CDN进行DDoS防御，简称高防CDN防护方案，另外一种是基于超大带宽及超大DDoS清洗能力的高防节点进行DDoS防御，简称高防IP防护方案。本文将对这两种方案的防护特点进行详细的分析及比较。

高防CDN防护方案分析

高防CDN防护方案(下称高防CDN)是利用分布足够多的CDN节点以及单CDN节点都具备一定的DDoS防护能力来实现DDoS防护的。一般来说，高防CDN厂商的CDN节点数量都大于50个，单CDN节点的DDoS防护能力都在20-100Gbps之间。

高防CDN防护具备以下五个特点：

1.网站加速能力较好

CDN节点一般会按省份按线路进行分布，业务流量一般会通过DNS智能解析来进行调度，用户可以通过最优的CDN节点来访问业务网站，CDN节点可以对业务网站中的静态资源进行加速，因此用户的访问时延会大大降低，体验会比较好。

2.七层防护能力较好

由于CDN节点的主要功能就是进行七层的加速及转发，所以单CDN节点都有一定的处理能力，加上分布的节点很多，因此在针对URL的DDoS攻击时，流量会被DNS调度，分散到各个CDN节点，充分利用全网带宽实现有效的防护。

3.无法防御针对性的DDoS攻击

由于高防CDN节点的防护能力一般在20-100Gbps之间，如果攻击者绑定HOST来指定节点进行攻击，或者针对各节点IP轮流发起攻击，只要攻击流量超过单CDN节点的防护能力，则会造成单CDN节点所有业务服务出现中断，如果攻击者针对CDN节点依次发起超大流量攻击，则会造成用户的业务在节点间不停地切换(单次切换时间大约在2-5分钟)，甚至会导致整个服务出现中断。

4.共享IP无法区分具体攻击

CDN节点一般都是采用共享IP段的方式来分配业务，一个IP可能会加载多个域名的业务，因此如果一个IP遭受DDoS攻击，由于无法区分攻击来自哪个域名业务，高防CDN厂商的一般做法是将IP相关的所有业务域名进行回源，此种方式会导致攻击流量直接牵引至源站，或者将源站暴露给攻击者，造成源站的安全风险急剧增加。

5.支持隐藏源站

高防CDN对外暴露的是各节点的共享IP地址段，通过CDN节点IP实现对源站的业务转发，攻击者无法通过业务交互获取真实的用户源站，从而保障了源站的安全。

高防IP防护方案分析

高防IP防护方案(下称高防IP)是利用在各区域建设的超大带宽及防护能力的DDoS防护节点来实现DDoS防护的，一般来说，高防IP厂商在全国的防护节点数量为2-10个，单节点的DDoS防护能力一般在300-1000Gbps之间。

高防IP防护具备以下三个特点：

1.DDoS防护效果好

针对不同客户的需求，高防IP厂商一般提供一个或者多个高防节点来对客户业务进行防护，客户所有的流量都会收敛到高防节点，而网堤安全高防节点一般都具备300-1000Gbps的防护能力，只要攻击流量小于节点的最大防护能力，节点都能轻松应对。

2.网站加速能力稍弱

高防IP的节点一般在10个以内，无法像高防CDN一样，通过各省提供的CDN节点为网站加速，但是高防IP也可以提供多个大区节点，对业务的静态资源进行缓存加速及按照大区或线路进行DNS调度，可有效减少对源站带宽资源的使用，及实现按大区或线路近源访问的能力。

3.支持隐藏源站

高防IP对外暴露的是各节点的独立高防IP，通过各高防节点的独立IP实现业务转发，攻击者无法通过业务交互获取真实的用户源站，从而保障了源站的安全。

两种防护方案的比较及总结

根据上述的比较结果来看，高防CDN的DDoS防护能力弱于高防IP，但网站加速能力占优，因此适用于对网站加速要求较高，DDoS防御要求小于100Gbps的用户，如大型门户网站等业务。而高防IP则适用于对网站加速要求不高，DDoS攻击威胁不明确，且与源站有频繁动态交互的用户，如游戏业务、互联网金融业务、小型推广网站、对外业务系统等。

根据网堤安全自身防护业务攻击情况的分析，当前大部分的DDoS攻击基础处于300-400Gbps之间，下图为网堤安全某客户在接入一个月后的攻击趋势图：

如上图所示，该客户在接入网堤平台后显示，每天都会遭受一到两次的DDoS攻击，攻击流量大部分处于300-400Gbps之间，且攻击都是针对IP发起的，如果高防CDN遇到此种攻击，由于单节点的防护能力不足，是无法进行有效防护的。

特别是面对超大型的DDoS攻击，高防CDN更加显得无能为力。如网堤安全的某个客户在9月份遭受了单节点774.588Gbps的超大型DDoS攻击，正是因为网堤高防IP单节点有1T的超强防御能力，才能成功实现了防御，确保攻击期间该客户的业务正常运行，如下图所示：

目前100Gbps以下的DDoS攻击已经甚少，且攻击流量还呈不断扩大的趋势，如要有效防护DDoS攻击，单节点的最大防护能力最为重要，只有单点防护能力足够，才能确保在遭受超大流量DDoS攻击时业务不受任何影响。因此在现今DDoS攻击的发展态势下，用户选择DDoS防护方案时，建议优先选择网堤安全高防IP。

申请创业报道，分享创业好点子。点击此处，共同探讨创业新机遇！