我們使用的大多數(shù)網(wǎng)站APP的設(shè)計開發(fā)厕氨,只考慮到展示和正常用戶穩(wěn)定使用,對于看不見的網(wǎng)站安全并沒有太多重視淑翼「玻互聯(lián)網(wǎng)經(jīng)濟(jì)的興起,出于惡性商業(yè)競爭玄括、敲詐勒索等原因冯丙,1999年開始一些企業(yè)網(wǎng)站受到DDOS,CC攻擊,雅虎是當(dāng)時最著名的受害者,近年來隨著攻擊成本越來越低胃惜、效果特別明顯等特點,DDOS泞莉,CC攻擊已經(jīng)演變成全球性網(wǎng)絡(luò)安全威脅。攻擊者借助代理服務(wù)器向受害主機(jī)發(fā)送大量的合法請求船殉,導(dǎo)致受害網(wǎng)站數(shù)據(jù)庫壓力就越大鲫趁,被訪問的頻率也越高,占用大量的系統(tǒng)資源導(dǎo)致網(wǎng)站打開緩慢或者無法訪問利虫。
DDOS攻擊的主要方式就是CP全連接攻擊挨厚;這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的,一般情況下糠惫,常規(guī)防火墻大多具備過濾TearDrop疫剃、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的硼讽,殊不知很多網(wǎng)絡(luò)服務(wù)程序(如:IIS巢价、Apache等Web服務(wù)器)能接受的TCP連接數(shù)是有限的,一旦有大量的TCP連接固阁,即便是正常的壤躲,也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接备燃,直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨碉克,從而造成拒絕服務(wù),這種攻擊的特點是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的赚爵,缺點是需要找很多僵尸主機(jī)棉胀,并且由于僵尸主機(jī)的IP是暴露的,因此容易被追蹤冀膝。
眾所周知DDOS攻擊主要針對的是IP唁奢,所以隱藏源站IP就顯得十分重要,隱藏IP是CDN內(nèi)容分發(fā)的重要功能之一窝剖,CDN是構(gòu)建在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)之上的智能虛擬網(wǎng)絡(luò)麻掸,依靠部署在各地的邊緣服務(wù)器,通過中心平臺的負(fù)載均衡赐纱、內(nèi)容分發(fā)脊奋、調(diào)度等功能模塊,廣泛分布的CDN節(jié)點加上節(jié)點之間的智能冗余機(jī)制將網(wǎng)站訪問流量分配到了各個節(jié)點中,這樣一方面隱藏網(wǎng)站的真實IP疙描,另一方面即使遭遇 DDOS攻擊诚隙,也可以將流量分散到各個節(jié)點中,防止源站崩潰起胰,從而起到防御的作用久又,CDN可以有效地預(yù)防黑客入侵以及降低各種D.D.o.S攻擊對網(wǎng)站的影響,同時保證較好的服務(wù)質(zhì)量 。為網(wǎng)站APP做好防護(hù)地消。
