使用CDN就可以防御網(wǎng)站的攻擊嗎？

時間：2023-10-27 00:12:01 | 來源：網(wǎng)站運(yùn)營

時間：2023-10-27 00:12:01 來源：網(wǎng)站運(yùn)營

使用CDN就可以防御網(wǎng)站的攻擊嗎？：

CDN 如何改善加載時間？

基本上，互聯(lián)網(wǎng)上的每個人都體驗過內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）的好處。包括 Google、Apple 和 Microsoft 等公司在內(nèi)的大多數(shù)技術(shù)公司都使用 CDN 來減少加載網(wǎng)頁內(nèi)容的延遲。

CDN 通常會將服務(wù)器放置在不同網(wǎng)絡(luò)之間的交換點(diǎn)。這些互聯(lián)網(wǎng)交換點(diǎn)（IXP）是不同互聯(lián)網(wǎng)提供商連接的主要位置，以便彼此提供對來自其不同網(wǎng)絡(luò)的流量的訪問。除了 IXP 外，CDN 還將服務(wù)器放置在位于全球高流量區(qū)域和戰(zhàn)略位置的數(shù)據(jù)中心，以便能夠盡快移動流量。

CDN 的一大優(yōu)勢是它能夠快速、高效地交付內(nèi)容。CDN 性能優(yōu)化可分為三個類別。

1. 縮短距離：縮短客戶端與所請求數(shù)據(jù)之間的物理距離
2. 優(yōu)化硬件/軟件：提高服務(wù)器端基礎(chǔ)結(jié)構(gòu)的性能，例如通過使用固態(tài)硬盤驅(qū)動器和高效負(fù)載均衡
3. 減少數(shù)據(jù)傳輸：采用各種技術(shù)來減小文件大小，以便快速進(jìn)行初始頁面加載

為了便于理解使用 CDN 的好處，我們來看看沒有 CDN 時普通客戶端/服務(wù)器數(shù)據(jù)傳輸會是什么樣子。

使用 CDN 和不使用 CDN 在加載時間上有何不同？

假設(shè)紐約的某個人需要訪問新加坡服務(wù)器上托管的網(wǎng)站。這兩個位置相隔甚遠(yuǎn)，物理距離為大約 9,520 英里。

如果承載網(wǎng)站內(nèi)容的服務(wù)器（源站服務(wù)器）位于新加坡，則對各個網(wǎng)頁資產(chǎn)的每個請求都必須從紐約前往新加坡，然后再返回。如同搭乘具有許多連接點(diǎn)的國際航班一樣，每個請求在從 A 點(diǎn)傳到 B 點(diǎn)的遠(yuǎn)距路程中都要經(jīng)過一系列路由器。

如果要查看計算機(jī)從當(dāng)前位置到達(dá)特定 Web 服務(wù)需要多少個不同連接點(diǎn)（躍點(diǎn)）的真實示例，可以使用桌面端計算機(jī)探索一下 traceroute 實用程序。

什么是 DDoS 緩解？

DDoS 緩解是指成功保護(hù)目標(biāo)服務(wù)器或網(wǎng)絡(luò)以抵御分布式拒絕服務(wù) (DDoS) 攻擊的過程。目標(biāo)受害者可以使用專門設(shè)計的網(wǎng)絡(luò)設(shè)備或基于云的保護(hù)服務(wù)緩解傳入的威脅。

使用基于云的提供商來緩解 DDoS 攻擊時，可以分為 4 個階段：

1. 檢測 - 為阻止分布式攻擊，網(wǎng)站需要能夠區(qū)分攻擊流量與大規(guī)模正常流量。如果產(chǎn)品發(fā)布或其他公告導(dǎo)致網(wǎng)站涌入大批新的合法訪問者，那么網(wǎng)站最不希望的就是限制訪問者或以其他方式阻止訪問者查看網(wǎng)站內(nèi)容。IP 信譽(yù)、常見攻擊模式和過往數(shù)據(jù)均有助于妥善完成檢測。
2. 響應(yīng) - 在此步驟中，DDoS 保護(hù)網(wǎng)絡(luò)將通過智能方式丟棄惡意機(jī)器人流量并吸收其余流量，從而對傳入的已識別威脅做出響應(yīng)。利用 WAF 頁面規(guī)則應(yīng)對應(yīng)用程序?qū)樱↙7）攻擊，或者運(yùn)用其他過濾流程來應(yīng)對低層（L3/L4）攻擊（如 memcached 或 NTP 放大），網(wǎng)絡(luò)能夠緩解中斷攻擊。
3. 路由 - 高效 DDoS 緩解解決方案通過智能方式路由流量，將剩余流量分解為可管理的區(qū)塊，從而防止拒絕服務(wù)。
4. 調(diào)整 - 卓越的網(wǎng)絡(luò)可以分析流量總結(jié)模式（如重復(fù)違規(guī)的 IP 阻止），特別是攻擊來自某些特定國家/地區(qū)或特定協(xié)議使用不當(dāng)時效果尤為顯著。通過調(diào)整應(yīng)對攻擊模式，保護(hù)服務(wù)可以加強(qiáng)自身以防范未來攻擊。

選擇 DDoS 緩解服務(wù)

傳統(tǒng) DDoS 緩解解決方案需要采購現(xiàn)場設(shè)備并過濾傳入流量。這種方法需要采購和維護(hù)昂貴的設(shè)備，而且依賴能夠緩解攻擊的網(wǎng)絡(luò)。如果 DDoS 攻擊規(guī)模足夠大，將可以從上游切斷網(wǎng)絡(luò)基礎(chǔ)設(shè)施，阻止各類現(xiàn)場解決方案生效。如果采購基于云的 DDoS 緩解服務(wù)，應(yīng)對某些特征進(jìn)行評估。

1. 可擴(kuò)展性 - 高效解決方案必需能夠適應(yīng)不斷增長的業(yè)務(wù)需求，并對層出不窮的 DDoS 攻擊做出響應(yīng)。超過每秒 1 TB/s (TBPS) 的攻擊已然出現(xiàn)，而且尚無跡象表明攻擊流量規(guī)模呈下滑趨勢。Cloudflare 網(wǎng)絡(luò)能夠處理比以往任何時候都大得多的 DDoS 攻擊。
2. 靈活性 - 能夠創(chuàng)建臨時策略和模式，因而可以實時調(diào)整 Web 資產(chǎn)以抵御傳入的威脅。為確保站點(diǎn)在攻擊期間保持在線狀態(tài)，實施 Page Rule 并在整個網(wǎng)絡(luò)中填充相關(guān)更改顯得至關(guān)重要。
3. 可靠性 - DDoS 保護(hù)就好比座椅安全帶，只在必要時使用，一旦使用最好確保正常運(yùn)行。無論任何保護(hù)策略，保證 DDoS 解決方案可靠性對于順利推行策略均至關(guān)重要。為確保服務(wù)長時間正常運(yùn)行及實現(xiàn)較高的站點(diǎn)可靠性，工程師每天 24 小時不間斷工作，以維持網(wǎng)絡(luò)在線狀態(tài)并識別新威脅。冗余、failover 及廣闊的數(shù)據(jù)中心網(wǎng)絡(luò)是推行平臺戰(zhàn)略的核心。
4. 網(wǎng)絡(luò)規(guī)模 - 隨著具體協(xié)議和攻擊手段的不斷轉(zhuǎn)變，Internet DDoS 攻擊也存在一定的規(guī)律。鑒于網(wǎng)絡(luò)龐大且數(shù)據(jù)傳輸范圍較廣，DDoS防護(hù)提供商可以快速有效地分析和響應(yīng)攻擊，通常能夠搶先一步阻止攻擊。Cloudflare 網(wǎng)絡(luò)運(yùn)行的 Internet 請求約占財富 1,000 強(qiáng)企業(yè)的 10%，為分析全球攻擊流量數(shù)據(jù)創(chuàng)造了優(yōu)勢。