网宿CDN为网站加速 防御DDoS等流量攻击 DDoS
今年3月,久游网《劲舞团》游戏多个大区受到大流量DDoS攻击;6月,美团网遭受了来源不明的DDoS攻击;同月,正值秒杀周活动中的米奇网突然遭到不明来路的高达6-10G流量的DDoS攻击。这些攻击的共同特点是利用突发网络过载在短时间内对网络资源进行干扰、占用,阻断正常的网络通讯,甚至造成服务器瘫痪。除了DDoS攻击外,SYN攻击以及基于IP、URL应用层等类型的网络攻击也是造成流量激增的目前比较常见的网络攻击手段。
据VeriSign公司的报告,63%中型到大型组织表示,他们在去年至少经历了一次DDoS攻击,而11%的企业遭遇了六次或以上的攻击。在调查的225位IT部门决策者中,将近80%的受访者表示极其或者说非常担心DDoS攻击他们的企业。67%的受访者表示,网络停机严重影响了他们的客户,51%的受访者表示,他们因为停机而造成经济损失。这一系列数字并非危言耸听,实际上还有些业内人士认为VeriSign公司的调查数据有些趋于保守。
在应对上述类似网络攻击时,传统做法是通过增加网络带宽资源或实施灾难恢复计划,但这两种方式在应对小规模流量攻击时防御效果比较显著,面对大规模攻击时却力不从心。而且,其实施过程比较繁琐,也给网站管理和运维人员带来了不小的困扰。
随着CDN技术的部署和应用,越来越多网络管理人员意识CDN可以有效的应对流量攻击。网宿科技产品总监于涛介绍,网宿科技CDN平台不但能够为网站提供加速服务,还能从网站攻击防护、安全应急保障和内容防篡改三方面来为网站提供安全防护,免去了网站本身增加太多冗余带宽资源的痛苦,也不用网站技术人员重新构建防御和备份系统。
网站攻击防护
网宿CDN安全防护增值服务可以通过以下5种技术对网站进行攻击防护:
•源站隐匿:网站在使用网宿CDN服务后,向最终用户提供服务的IP地址全部为网宿的CDN节点。这样一来,实际上最终用户是无法通过互联网访问获得源站真实的IP地址,从而杜绝了攻击者对源站的攻击可能,保障源站安全。
•防DDoS攻击:网宿CDN优化过的软硬件系统和成熟的集群技术,使得网宿CDN抗DDoS的能力得到几十倍的提升,再加上网宿特色的wsGLB智能负载均衡,能根据访问质量变化自动切换节点,将使攻击更加分散。
•防SYN攻击:网宿CDN利用基于SYN_Proxy技术,对所有请求包进行Cookie的计算,对正常用户和攻击进行判断,保证了正常访客的请求能够正常建立连接,比传统的SYN Cookie技术效率更高。
•防基于IP应用层攻击:单IP每分钟限制若干次请求数。应用层利用阻断攻击的IP来防止攻击者连接服务器,减少攻击流量,同时保证正常用户的访问效果。
•防基于URL应用层攻击:实时分析流量及包情况,实时更新URL黑名单,直接阻断攻击URL访问。
安全应急保障
•流量切换:由于攻击行为的不确定性,攻击流量及连接可能会突增或转向,网宿CDN利用智能控制系统,可以实现对攻击行为及流量的实时切换,保证服务长期可靠性。
•应急保障:为使用网宿CDN服务的网站提供应急保障方案,全面监控,多层级防护支持。
•离线模式:当网站源站出现紧急问题,如服务器故障、网络中断、或遭受攻击时,网宿CDN服务可在网站停止信息更新的情况下,继续向用户提供节点内已存储的内容。
•支撑突发访问:目前网宿CDN可承载带宽600G,在国内拥有200多个节点,海外14个节点,这些丰富的资源可帮助网站在遭遇突发事件时实现流量分发,有效保证网站的正常稳定服务。
内容防篡改
360网站安全检测平台统计数据显示,目前国内平均每月被黑客篡改页面的网站有3899个,存在漏洞等安全隐患的网站比例高达83%。
网宿CDN节点服务器采用专用磁盘存储,对所有缓存内容进行HASH加密计算,避免非法用户检索存储内容,从根本上杜绝缓存的内容被篡改的可能性。
同时,CDN采用高强度校验算法,对缓存内容进行实时校验,一旦发现内容产生变化,可及时发现并对相关内容拒绝发布处理,直至相应内容得到妥善处理。