吞噬網絡攻擊流量:CDN 為何能緩解 DDoS?
吞噬網絡攻擊流量:CDN 為何能緩解 DDoS?
在數碼經濟年代,不論是年輕 80、90 後,又或是 70、60 後,想必都已嘗試過於網絡上進行購物;毫無疑問網上購物是一種潮流,亦將會是未來的發展趨勢。
現時很多企業都懂得把握機遇,並開始著手建置完善的網上購物平台,而有些更早已部署好,並且已在享受著 O2O(Online to Offline)所帶來的豐厚成果;而隨著企業購物平台的價值提高,很自然便會更易成為駭客攻擊目標,而首當其衝的將會是通過 DDoS(Distributed Denial of Service)所發動的攻擊。
簡單來說,DDoS 就是一種攻擊方式,其主要的做法就是透過數以萬計的彊屍網絡(Botnets)向目標主機同時間發送大量請求,繼而癱瘓目標,令網站無法有效進行存取,最終影響購物平台的運作;現時最常見的 DDoS 方式包括有SYN Flood、Reflection attack 以及 Amplification attacks。
那麼我們應如何預防這些攻擊?其實企業可考慮部署不同的 UTM(Unified threat management)方案,又或者採用 CDN(Content delivery network),今次我們將會簡單分享一下 CDN 在緩解 DDoS 方面的做法。
現時採用 CDN 以防禦 DDoS 攻擊的企業愈來愈多,這其中的主要原因是 CDN 本身採用靈活的按需付款(Pay-as-you-go)方式;再加上針對超大型的攻擊,傳統的防禦方案是很難與這些大型的 CDN 網絡相比的,所以採用 CDN 方案作防禦 DDoS 已成為一種常態。
早前我們曾花了不少篇幅介紹了各種 CDN 服務,在進行了十分詳細的調查後,我們發現很多 CDN 服務供應商於全球已擁有數以千計甚至是數以萬計的點,在這樣的大型規模之下,很多時即便是大量的惡意請求,通過 CDN 的協助下,在還未影響到伺服器前便已被 CDN 給緩解了。
在 CDN 世界之中,緩解 DDoS 會有很多不同的做法及類別,例如 Always-on 以及 On-demand 兩種形式;當然還有以 Hybrid 的形式去部署 DDoS 防禦措施,但今次我們會先簡解一下 Always-on 以及 On-demand 這兩種形式。
由於篇幅所限,這裡只簡單說明一下 Always-on 以及 On-demand 兩種形式的 CDN 分別以及簡單說明一下如何緩解 DDoS:
Always-on 這種方式主要通過在線清洗(Inline scrubbing)的方式去監控及清除異常流量;而在整個流程之中 POP(Point Of Presence)伺服器將會成為清洗異常流量的地方,由於流量需通過 POP 進行清洗,因此會有可能造成輕微的應用延遲,不過往往是處於可接受範圍的。
On-demand 的方式則主要通過改變 BGP 路由以及 DNS 重新導向等,將異常流量重新導向至網絡上的獨立清洗位置,這種方法可有效清除異常流量,但同時亦可做到不影響正常請求。
兩種做法有好有壞,如何選擇則要看看公司本身擁有多少預算去實施 DDoS 防禦工作。姑勿論如何,現時 CDN 雲端服務已成為了網頁伺服器必備的 DDoS 防禦方案,本文希望能為大家帶來一個最基本的 CDN 方案概念,如想進一步了解 CDN 是如何對抗 DDoS 的話,便不要錯過我們稍後的相關分享啦!
鳴謝:Lapcom