天下數(shù)據(jù)CDN高防不僅能解決各地區(qū)不同網(wǎng)絡(luò)用戶訪問速度，還能解決并發(fā)量減輕網(wǎng)站服務(wù)器的壓力，并可以隱藏網(wǎng)站源IP，遠(yuǎn)離防護(hù)多種DDoS類型攻擊，包括攻擊類型ICMPFlood、UDPFlood、TCPFlood、SYNFlood、ACKFlood等。

一、CDN高防可以防御哪些類型的攻擊？

1.SYN Flood防護(hù)

結(jié)合了syn Cookie、syn proxy、safereset、syn重傳等算法，并引入了IP信譽(yù)機(jī)制，如果該IP的信譽(yù)值較高，則采用syncookie算法;而對(duì)于信譽(yù)值較低的源IP，則基于協(xié)議棧行為模式，如果syn包得到驗(yàn)證，則對(duì)該連接進(jìn)入syncookie校驗(yàn)，一旦該IP的連接得到驗(yàn)證則提高其信譽(yù)值。

2.ACK Flood防護(hù)

利用對(duì)稱性判斷來分析出是否有攻擊存在，所謂對(duì)稱型判斷，就是收包異常大于發(fā)包，因?yàn)楣�擊者通常�?huì)采用大量ACK包，并且為了提高攻擊速度，一般采用內(nèi)容基本一致的小包發(fā)送。這可以作為判斷是否發(fā)生ACK Flood的依據(jù)。

3.UDP Flood防護(hù)

UDP協(xié)議與TCP 協(xié)議不同，是無連接狀態(tài)的協(xié)議，并且UDP應(yīng)用協(xié)議五花八門，差異極大，因此針對(duì)UDP Flood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對(duì)待：判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據(jù)攻擊包大小設(shè)定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄所有UDP碎片。攻擊端口為業(yè)務(wù)端口：根據(jù)該業(yè)務(wù)UDP最大包長(zhǎng)設(shè)置UDP最大包大小以過濾異常流量。

4.ICMP防護(hù)

ICMP Flood 的攻擊原理和ACK Flood原理類似，屬于流量型的攻擊方式，也是利用大的流量給服務(wù)器帶來較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMP報(bào)文， 因此ICMP Flood出現(xiàn)的頻度較低。其防御方法主要是直接過濾ICMP報(bào)文。

5.Connection Flood防護(hù)

Connection Flood是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。這種攻擊的原理是利用真實(shí)的IP地址向服 務(wù)器發(fā)起大量的連接，并且建立連接之后很長(zhǎng)時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無 法響應(yīng)其他客戶所發(fā)起的連接。解決方法是：主動(dòng)清除殘余連接；對(duì)惡意連接的IP進(jìn)行封禁；限制每個(gè)源IP的連接數(shù)；對(duì)特定的URL進(jìn)行防護(hù)；反查Proxy后面發(fā)起HTTP Get Flood的源。

6.HTTP Get防護(hù)

對(duì)是否HTTP Get的判斷，要統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器的每秒鐘的GET 請(qǐng)求數(shù)，如果遠(yuǎn)遠(yuǎn)超過正常值，就要對(duì)HTTP協(xié)議解碼，找出HTTP Get及其參數(shù)（例如URL等）。然后判斷某個(gè)GET 請(qǐng)求是來自代理服務(wù)器還是惡意請(qǐng)求。并回應(yīng)一個(gè)帶key的響應(yīng)要求請(qǐng)求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端并不響應(yīng)則說明是利用工具發(fā)起的請(qǐng)求，這樣HTTP Get請(qǐng)求就無法到達(dá)服務(wù)器，達(dá)到防護(hù)的效果。

二、CDN高防如何防御攻擊？

網(wǎng)站使用高防cdn做防御主要的原因就是高防cdn的防御效果，可以對(duì)應(yīng)各種類型的攻擊，更重要的是可以讓網(wǎng)站服務(wù)器不會(huì)遭受到攻擊，讓網(wǎng)站管理者有更多的選擇，不管是使用高防cdn還是更換高防cdn都是非常簡(jiǎn)單快速的，只需要更換網(wǎng)站域名解析就可以了，使用高防cdn就需要要確保網(wǎng)站服務(wù)器IP地址沒有暴露在公網(wǎng)讓黑客知道網(wǎng)站服務(wù)器IP地址是什么。

第一、修改網(wǎng)站域名解析，把網(wǎng)站域名解析到高防cdn自動(dòng)生成的cname記錄值上，因?yàn)榫W(wǎng)站域名沒有解析到網(wǎng)站服務(wù)器IP上，所以網(wǎng)站服務(wù)器IP地址不會(huì)暴露在公網(wǎng)上，黑客也無法知道網(wǎng)站服務(wù)器IP地址是什么。

第二、網(wǎng)站服務(wù)器隱藏保護(hù)在后端，高防cdn節(jié)點(diǎn)部署在前端，不管是訪客訪問還是攻擊都是連接到高防cdn節(jié)點(diǎn)，高防cdn的防御機(jī)制會(huì)自動(dòng)識(shí)別是否是攻擊，如何檢測(cè)都是攻擊，那么就會(huì)自動(dòng)進(jìn)行攔截清洗。

第三、高防cdn的防御機(jī)制并不是單一固定的防護(hù)策略，為了應(yīng)對(duì)各種不同的攻擊類型，更加有效的攔截清洗攻擊，可以針對(duì)網(wǎng)站的攻擊類型進(jìn)行針對(duì)性的部署針對(duì)性的防護(hù)策略。

第四、高防cdn的節(jié)點(diǎn)部署在各個(gè)地區(qū)讓訪客可以連接到與他響應(yīng)速度最快的節(jié)點(diǎn)，讓訪客可以更快速的訪問到網(wǎng)站，cdn緩存更是進(jìn)一步的提高網(wǎng)站訪問速度和減輕網(wǎng)站服務(wù)器壓力提高網(wǎng)站服務(wù)器穩(wěn)定性。

天下數(shù)據(jù)高防CDN既能加速又能防御的CDN產(chǎn)品。擁有多年的游戲、金融、直播、門戶等各大行業(yè)的強(qiáng)大的防護(hù)經(jīng)驗(yàn)以及全國各地區(qū)網(wǎng)絡(luò)帶寬儲(chǔ)備資源。定制cdn高防解決方案詳詢天下數(shù)據(jù)客服！

本文鏈接：http://51huadong.com/cloundnews/11003821.html