當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

DDoS防御選高防IP還是高防CDN?網(wǎng)堤安全深入分析揭曉

 2018-10-22 17:34  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

DDoS攻擊是主要以帶寬消耗為攻擊特征的網(wǎng)絡(luò)攻擊手段,受攻擊者一般很難獨(dú)立防御,必須尋找第三方的DDoS防護(hù)服務(wù)來(lái)協(xié)助防御。目前市場(chǎng)上主要有兩種防護(hù)方案,一種是基于CDN進(jìn)行DDoS防御,簡(jiǎn)稱高防CDN防護(hù)方案,另外一種是基于超大帶寬及超大DDoS清洗能力的高防節(jié)點(diǎn)進(jìn)行DDoS防御,簡(jiǎn)稱高防IP防護(hù)方案。本文將對(duì)這兩種方案的防護(hù)特點(diǎn)進(jìn)行詳細(xì)的分析及比較。

高防CDN防護(hù)方案分析

高防CDN防護(hù)方案(下稱高防CDN)是利用分布足夠多的CDN節(jié)點(diǎn)以及單CDN節(jié)點(diǎn)都具備一定的DDoS防護(hù)能力來(lái)實(shí)現(xiàn)DDoS防護(hù)的。一般來(lái)說(shuō),高防CDN廠商的CDN節(jié)點(diǎn)數(shù)量都大于50個(gè),單CDN節(jié)點(diǎn)的DDoS防護(hù)能力都在20-100Gbps之間。

高防CDN防護(hù)具備以下五個(gè)特點(diǎn):

1.網(wǎng)站加速能力較好

CDN節(jié)點(diǎn)一般會(huì)按省份按線路進(jìn)行分布,業(yè)務(wù)流量一般會(huì)通過(guò)DNS智能解析來(lái)進(jìn)行調(diào)度,用戶可以通過(guò)最優(yōu)的CDN節(jié)點(diǎn)來(lái)訪問(wèn)業(yè)務(wù)網(wǎng)站,CDN節(jié)點(diǎn)可以對(duì)業(yè)務(wù)網(wǎng)站中的靜態(tài)資源進(jìn)行加速,因此用戶的訪問(wèn)時(shí)延會(huì)大大降低,體驗(yàn)會(huì)比較好。

2.七層防護(hù)能力較好

由于CDN節(jié)點(diǎn)的主要功能就是進(jìn)行七層的加速及轉(zhuǎn)發(fā),所以單CDN節(jié)點(diǎn)都有一定的處理能力,加上分布的節(jié)點(diǎn)很多,因此在針對(duì)URL的DDoS攻擊時(shí),流量會(huì)被DNS調(diào)度,分散到各個(gè)CDN節(jié)點(diǎn),充分利用全網(wǎng)帶寬實(shí)現(xiàn)有效的防護(hù)。

3.無(wú)法防御針對(duì)性的DDoS攻擊

由于高防CDN節(jié)點(diǎn)的防護(hù)能力一般在20-100Gbps之間,如果攻擊者綁定HOST來(lái)指定節(jié)點(diǎn)進(jìn)行攻擊,或者針對(duì)各節(jié)點(diǎn)IP輪流發(fā)起攻擊,只要攻擊流量超過(guò)單CDN節(jié)點(diǎn)的防護(hù)能力,則會(huì)造成單CDN節(jié)點(diǎn)所有業(yè)務(wù)服務(wù)出現(xiàn)中斷,如果攻擊者針對(duì)CDN節(jié)點(diǎn)依次發(fā)起超大流量攻擊,則會(huì)造成用戶的業(yè)務(wù)在節(jié)點(diǎn)間不停地切換(單次切換時(shí)間大約在2-5分鐘),甚至?xí)?dǎo)致整個(gè)服務(wù)出現(xiàn)中斷。

4.共享IP無(wú)法區(qū)分具體攻擊

CDN節(jié)點(diǎn)一般都是采用共享IP段的方式來(lái)分配業(yè)務(wù),一個(gè)IP可能會(huì)加載多個(gè)域名的業(yè)務(wù),因此如果一個(gè)IP遭受DDoS攻擊,由于無(wú)法區(qū)分攻擊來(lái)自哪個(gè)域名業(yè)務(wù),高防CDN廠商的一般做法是將IP相關(guān)的所有業(yè)務(wù)域名進(jìn)行回源,此種方式會(huì)導(dǎo)致攻擊流量直接牽引至源站,或者將源站暴露給攻擊者,造成源站的安全風(fēng)險(xiǎn)急劇增加。

5.支持隱藏源站

高防CDN對(duì)外暴露的是各節(jié)點(diǎn)的共享IP地址段,通過(guò)CDN節(jié)點(diǎn)IP實(shí)現(xiàn)對(duì)源站的業(yè)務(wù)轉(zhuǎn)發(fā),攻擊者無(wú)法通過(guò)業(yè)務(wù)交互獲取真實(shí)的用戶源站,從而保障了源站的安全。

高防IP防護(hù)方案分析

高防IP防護(hù)方案(下稱高防IP)是利用在各區(qū)域建設(shè)的超大帶寬及防護(hù)能力的DDoS防護(hù)節(jié)點(diǎn)來(lái)實(shí)現(xiàn)DDoS防護(hù)的,一般來(lái)說(shuō),高防IP廠商在全國(guó)的防護(hù)節(jié)點(diǎn)數(shù)量為2-10個(gè),單節(jié)點(diǎn)的DDoS防護(hù)能力一般在300-1000Gbps之間。

高防IP防護(hù)具備以下三個(gè)特點(diǎn):

1.DDoS防護(hù)效果好

針對(duì)不同客戶的需求,高防IP廠商一般提供一個(gè)或者多個(gè)高防節(jié)點(diǎn)來(lái)對(duì)客戶業(yè)務(wù)進(jìn)行防護(hù),客戶所有的流量都會(huì)收斂到高防節(jié)點(diǎn),而網(wǎng)堤安全高防節(jié)點(diǎn)一般都具備300-1000Gbps的防護(hù)能力,只要攻擊流量小于節(jié)點(diǎn)的最大防護(hù)能力,節(jié)點(diǎn)都能輕松應(yīng)對(duì)。

2.網(wǎng)站加速能力稍弱

高防IP的節(jié)點(diǎn)一般在10個(gè)以內(nèi),無(wú)法像高防CDN一樣,通過(guò)各省提供的CDN節(jié)點(diǎn)為網(wǎng)站加速,但是高防IP也可以提供多個(gè)大區(qū)節(jié)點(diǎn),對(duì)業(yè)務(wù)的靜態(tài)資源進(jìn)行緩存加速及按照大區(qū)或線路進(jìn)行DNS調(diào)度,可有效減少對(duì)源站帶寬資源的使用,及實(shí)現(xiàn)按大區(qū)或線路近源訪問(wèn)的能力。

3.支持隱藏源站

高防IP對(duì)外暴露的是各節(jié)點(diǎn)的獨(dú)立高防IP,通過(guò)各高防節(jié)點(diǎn)的獨(dú)立IP實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā),攻擊者無(wú)法通過(guò)業(yè)務(wù)交互獲取真實(shí)的用戶源站,從而保障了源站的安全。

兩種防護(hù)方案的比較及總結(jié)

根據(jù)上述的比較結(jié)果來(lái)看,高防CDN的DDoS防護(hù)能力弱于高防IP,但網(wǎng)站加速能力占優(yōu),因此適用于對(duì)網(wǎng)站加速要求較高,DDoS防御要求小于100Gbps的用戶,如大型門戶網(wǎng)站等業(yè)務(wù)。而高防IP則適用于對(duì)網(wǎng)站加速要求不高,DDoS攻擊威脅不明確,且與源站有頻繁動(dòng)態(tài)交互的用戶,如游戲業(yè)務(wù)、互聯(lián)網(wǎng)金融業(yè)務(wù)、小型推廣網(wǎng)站、對(duì)外業(yè)務(wù)系統(tǒng)等。

根據(jù)網(wǎng)堤安全自身防護(hù)業(yè)務(wù)攻擊情況的分析,當(dāng)前大部分的DDoS攻擊基礎(chǔ)處于300-400Gbps之間,下圖為網(wǎng)堤安全某客戶在接入一個(gè)月后的攻擊趨勢(shì)圖:

如上圖所示,該客戶在接入網(wǎng)堤平臺(tái)后顯示,每天都會(huì)遭受一到兩次的DDoS攻擊,攻擊流量大部分處于300-400Gbps之間,且攻擊都是針對(duì)IP發(fā)起的,如果高防CDN遇到此種攻擊,由于單節(jié)點(diǎn)的防護(hù)能力不足,是無(wú)法進(jìn)行有效防護(hù)的。

特別是面對(duì)超大型的DDoS攻擊,高防CDN更加顯得無(wú)能為力。如網(wǎng)堤安全的某個(gè)客戶在9月份遭受了單節(jié)點(diǎn)774.588Gbps的超大型DDoS攻擊,正是因?yàn)榫W(wǎng)堤高防IP單節(jié)點(diǎn)有1T的超強(qiáng)防御能力,才能成功實(shí)現(xiàn)了防御,確保攻擊期間該客戶的業(yè)務(wù)正常運(yùn)行,如下圖所示:

目前100Gbps以下的DDoS攻擊已經(jīng)甚少,且攻擊流量還呈不斷擴(kuò)大的趨勢(shì),如要有效防護(hù)DDoS攻擊,單節(jié)點(diǎn)的最大防護(hù)能力最為重要,只有單點(diǎn)防護(hù)能力足夠,才能確保在遭受超大流量DDoS攻擊時(shí)業(yè)務(wù)不受任何影響。因此在現(xiàn)今DDoS攻擊的發(fā)展態(tài)勢(shì)下,用戶選擇DDoS防護(hù)方案時(shí),建議優(yōu)先選擇網(wǎng)堤安全高防IP。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
ddos攻擊
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦