在各種 DDoS 防御方案中，有些企業(yè)會(huì)選擇內(nèi)容交付網(wǎng)絡(luò)（即 CDN）服務(wù)商。CDN 服務(wù)商固然在分布和帶寬方面有優(yōu)勢(shì)，可以幫助抵御 DDoS 攻擊，但作為專用托管型 DDoS 服務(wù)同樣存在缺點(diǎn)。

一方面，安全并非 CDN 提供商關(guān)注的重點(diǎn)。CDN核心業(yè)務(wù)是內(nèi)容和應(yīng)用的交付。攻擊調(diào)查、對(duì)策開(kāi)發(fā)和威脅情報(bào)對(duì)他們來(lái)說(shuō)是次要任務(wù)。另外，CDN 提供商可能缺乏相應(yīng)的專業(yè)技術(shù)來(lái)研究、分析和了解攻擊的性質(zhì)并提前提出建議以保證安全。 

CDN 的首要保護(hù)對(duì)象是所托管的服務(wù)。如果遇到勢(shì)不可擋的超大規(guī)模攻擊（這種攻擊目前越來(lái)越常見(jiàn)），CDN 可能無(wú)法保護(hù)所有客戶的資產(chǎn)，部分客戶必定會(huì)受到威脅。CDN 啟動(dòng)自動(dòng)應(yīng)對(duì)時(shí)還通常會(huì)造成合法流量遭受攔截。由于 CDN DDoS 緩解策略經(jīng)常利用靜態(tài)篩選器和 Web 應(yīng)用程序防火墻 (WAF)，在保護(hù)云服務(wù)方面通常缺乏靈活性和智能性。

“永遠(yuǎn)在線”(Always On) 并非永遠(yuǎn)都好

CDN 承諾的“永遠(yuǎn)在線”保護(hù)看起來(lái)很好，但深入研究一下就會(huì)發(fā)現(xiàn)一些問(wèn)題。“永遠(yuǎn)在線”可能意味著緩解系統(tǒng)持續(xù)監(jiān)視所有流量，并主動(dòng)檢查和自動(dòng)觸發(fā)攔截（“永遠(yuǎn)緩解”），或只監(jiān)視流量并被動(dòng)檢查，按需檢測(cè)可能的攻擊并觸發(fā)緩解操作（“永遠(yuǎn)監(jiān)視”）。了解兩者之間的差異，以及提供商提供哪一種服務(wù)十分重要。

如果是“永遠(yuǎn)緩解”，則需要最大程度地緩解攻擊并同時(shí)降低對(duì)合法流量的影響，兩者之間的平衡問(wèn)題值得評(píng)估。“永遠(yuǎn)在線”緩解的間接負(fù)面影響不僅僅是誤報(bào)。不必要的流量檢查還可能會(huì)造成服務(wù)延遲。在“永遠(yuǎn)監(jiān)視”情況下，用戶可能會(huì)喪失對(duì)攻擊檢測(cè)策略和響應(yīng)時(shí)間的可見(jiàn)性。用戶或許能夠避免不必要的緩解，但另一方面，也會(huì)錯(cuò)過(guò)相關(guān)攻擊提示。此外，旨在檢測(cè)容量攻擊的“永遠(yuǎn)在線”解決方案也有可能錯(cuò)過(guò)小規(guī)模的應(yīng)用層攻擊。

“永遠(yuǎn)在線”保護(hù)模型需要復(fù)雜的流量均衡以緩解 DDoS攻擊同時(shí)保護(hù)所有客戶的正常操作。這并非微不足道，在最近觀察到的大規(guī)模攻擊的情況下，可能會(huì)對(duì)未受攻擊的客戶造成緩解影響，或者將受攻擊的客戶隔離為整個(gè) CDN 容量中的各個(gè)子集。客戶應(yīng)仔細(xì)評(píng)估永遠(yuǎn)在線提供商是否具有可擴(kuò)展架構(gòu)來(lái)緩解對(duì)部分客戶的攻擊，同時(shí)對(duì)其他客戶不造成任何影響。

混合DDoS解決方案

越來(lái)越多的行業(yè)分析師和專家將混合安全解決方案作為DDoS 保護(hù)的最佳實(shí)踐�；旌喜呗园�括永遠(yuǎn)在線的本地部署、專門(mén)的檢測(cè)系統(tǒng)，以及具有按需使用、基于云端緩解功能的緩解系統(tǒng)。大多數(shù)攻擊規(guī)模較小，能夠通過(guò)本地檢測(cè)和緩解。本地設(shè)備對(duì)應(yīng)用程序流量的熟悉程度也高于 CDN DDoS 解決方案，因此能夠更好地識(shí)別流量模式中的異常情況。只有在攻擊明顯超過(guò)本地設(shè)備的容量時(shí)，才會(huì)自動(dòng)觸發(fā)云端緩解。因此，云組件沒(méi)有必要“永遠(yuǎn)在線”，從而節(jié)省成本并節(jié)約容量，更好地防御實(shí)際攻擊。

成本可能是 CDN DDoS 提供商的主要優(yōu)勢(shì)之一。但混合解決方案會(huì)更經(jīng)濟(jì)。虛擬技術(shù)可取代昂貴的硬件�；旌辖鉀Q方案可在 DDoS 專家的支持下部署為完全托管服務(wù)，降低內(nèi)部 IT 空間和安全人員需求，從而降低整體成本。

另外，CDN 解決方案通常主要依賴于自動(dòng)操作。如今的攻擊者異常狡猾。盡管自動(dòng)檢測(cè)和緩解功能至關(guān)重要，還需要思維和智慧都超越惡意操作者的富有經(jīng)驗(yàn)的專業(yè)團(tuán)隊(duì)才能阻止攻擊。由于具有強(qiáng)大的威脅情報(bào)網(wǎng)絡(luò)和深入的研究計(jì)劃，混合技術(shù)解決方案的有效性將高出許多倍，這些優(yōu)勢(shì)更有可能在專業(yè)的 DDoS 安全專家中找到，而不是將安全作為次要因素的一般 CDN 提供商。

此外，混合解決方案更為經(jīng)濟(jì)適用，具有意想不到的成本效益。如今，本地防御可以采取虛擬方式。通過(guò)利用完全托管服務(wù)，可以降低人員需求，從而削減整體成本，用戶只需為實(shí)際使用的云容量買(mǎi)單。

CDN福音：天下數(shù)據(jù)私人定制全球CDN  http://m.51huadong.com/2017/Txsjcdn.asp

另，天下數(shù)據(jù)針對(duì)游戲、金融、網(wǎng)站等用戶在遭受大流量DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下，推出DDoS高防ip服務(wù)付費(fèi)增值服務(wù)，用戶可以通過(guò)配置高防IP，將ddos攻擊流量引流到高防IP，確保源站穩(wěn)定可靠！詳詢?cè)诰�客服！

本文鏈接：http://m.51huadong.com/cloundnews/11001957.html