吞噬网络攻击流量：CDN 为何能缓解 DDOS?

　　在数码经济年代，不论是年轻 80、90 后，又或是 70、60 后，想必都已尝试过于网络上进行购物;毫无疑问网上购物是一种潮流，亦将会是未来的发展趋势。

　　现时很多企业都懂得把握机遇，并开始着手建置完善的网上购物平台，而有些更早已部署好，并且已在享受着 O2O(Online to Offline)所带来的丰厚成果;而随着企业购物平台的价值提高，很自然便会更易成为骇客攻击目标，而首当其衝的将会是通过 DDoS(Distributed Denial of Service)所发动的攻击。

　　简单来说，DDoS 就是一种攻击方式，其主要的做法就是透过数以万计的彊尸网络(Botnets)向目标主机同时间发送大量请求，继而瘫痪目标，令网站无法有效进行存取，最终影响购物平台的运作;现时最常见的 DDoS 方式包括有SYN Flood、Reflection attack 以及 Amplification attacks。

　　那么我们应如何预防这些攻击?其实企业可考虑部署不同的 UTM(Unified threat management)方案，又或者採用 CDN(Content delivery network)，今次我们将会简单分享一下 CDN 在缓解 DDoS 方面的做法。

　　现时採用 CDN 以防御 DDoS 攻击的企业愈来愈多，这其中的主要塬因是 CDN 本身採用灵活的按需付款(Pay-as-you-go)方式;再加上针对超大型的攻击，传统的防御方案是很难与这些大型的 CDN 网络相比的，所以採用 CDN 方案作防御 DDoS 已成为一种常态。

　　早前我们曾花了不少篇幅介绍了各种 CDN 服务，在进行了十分详细的调查后，我们发现很多 CDN 服务供应商于全球已拥有数以千计甚至是数以万计的点，在这样的大型规模之下，很多时即便是大量的恶意请求，通过 CDN 的协助下，在还未影响到服务器前便已被 CDN 给缓解了。

　　在 CDN 世界之中，缓解 DDoS 会有很多不同的做法及类别，例如 Always-on 以及 On-demand 两种形式;当然还有以 Hybrid 的形式去部署 DDoS 防御措施，但今次我们会先简解一下 Always-on 以及 On-demand 这两种形式。

　　由于篇幅所限，这裡只简单说明一下 Always-on 以及 On-demand 两种形式的 CDN 分别以及简单说明一下如何缓解 DDoS：

　　Always-on 这种方式主要通过在线清洗(Inline scrubbing)的方式去监控及清除异常流量;而在整个流程之中 POP(Point Of Presence)服务器将会成为清洗异常流量的地方，由于流量需通过 POP 进行清洗，因此会有可能造成轻微的应用延迟，不过往往是处于可接受範围的。

　　On-demand 的方式则主要通过改变 BGP 路由以及 DNS 重新导向等，将异常流量重新导向至网络上的独立清洗位置，这种方法可有效清除异常流量，但同时亦可做到不影响正常请求。

　　两种做法有好有坏，如何选择则要看看公司本身拥有多少预算去实施 DDoS 防御工作。姑勿论如何，现时 CDN 云端服务已成为了网页服务器必备的 DDoS 防御方案，本文希望能为大家带来一个最基本的 CDN 方案概念，如想进一步了解 CDN 是如何对抗 DDoS 的话，便不要错过我们稍后的相关分享啦!

本文地址：https://www.idcbest.com/idcnews/11000548.html