吞噬网络攻击流量:CDN 为何能缓解 DDOS?
在数码经济年代,不论是年轻 80、90 后,又或是 70、60 后,想必都已尝试过于网络上进行购物;毫无疑问网上购物是一种潮流,亦将会是未来的发展趋势。现时很多企业都懂得把握机遇,并开始着手建置完善的网上购物平台,而有些更早已部署好,并且已在享受着 O2O(Online to Offline)所带来的丰厚成果;而随着企业购物平台的价值提高,很自然便会更易成为骇客攻击目标,而首当其衝的将会是通过 DDoS(Distributed Denial of Service)所发动的攻击。
简单来说,DDoS 就是一种攻击方式,其主要的做法就是透过数以万计的彊尸网络(Botnets)向目标主机同时间发送大量请求,继而瘫痪目标,令网站无法有效进行存取,最终影响购物平台的运作;现时最常见的 DDoS 方式包括有SYN Flood、Reflection attack 以及 Amplification attacks。
那么我们应如何预防这些攻击?其实企业可考虑部署不同的 UTM(Unified threat management)方案,又或者採用 CDN(Content delivery network),今次我们将会简单分享一下 CDN 在缓解 DDoS 方面的做法。
现时採用 CDN 以防御 DDoS 攻击的企业愈来愈多,这其中的主要塬因是 CDN 本身採用灵活的按需付款(Pay-as-you-go)方式;再加上针对超大型的攻击,传统的防御方案是很难与这些大型的 CDN 网络相比的,所以採用 CDN 方案作防御 DDoS 已成为一种常态。
早前我们曾花了不少篇幅介绍了各种 CDN 服务,在进行了十分详细的调查后,我们发现很多 CDN 服务供应商于全球已拥有数以千计甚至是数以万计的点,在这样的大型规模之下,很多时即便是大量的恶意请求,通过 CDN 的协助下,在还未影响到服务器前便已被 CDN 给缓解了。
在 CDN 世界之中,缓解 DDoS 会有很多不同的做法及类别,例如 Always-on 以及 On-demand 两种形式;当然还有以 Hybrid 的形式去部署 DDoS 防御措施,但今次我们会先简解一下 Always-on 以及 On-demand 这两种形式。
由于篇幅所限,这裡只简单说明一下 Always-on 以及 On-demand 两种形式的 CDN 分别以及简单说明一下如何缓解 DDoS:
Always-on 这种方式主要通过在线清洗(Inline scrubbing)的方式去监控及清除异常流量;而在整个流程之中 POP(Point Of Presence)服务器将会成为清洗异常流量的地方,由于流量需通过 POP 进行清洗,因此会有可能造成轻微的应用延迟,不过往往是处于可接受範围的。
On-demand 的方式则主要通过改变 BGP 路由以及 DNS 重新导向等,将异常流量重新导向至网络上的独立清洗位置,这种方法可有效清除异常流量,但同时亦可做到不影响正常请求。
两种做法有好有坏,如何选择则要看看公司本身拥有多少预算去实施 DDoS 防御工作。姑勿论如何,现时 CDN 云端服务已成为了网页服务器必备的 DDoS 防御方案,本文希望能为大家带来一个最基本的 CDN 方案概念,如想进一步了解 CDN 是如何对抗 DDoS 的话,便不要错过我们稍后的相关分享啦!
页:
[1]