當(dāng)下網(wǎng)絡(luò)攻擊主要兩類(lèi)，一類(lèi)是針對(duì)服務(wù)器層面的攻擊，另一類(lèi)就是針對(duì)應(yīng)用層面的攻擊，針對(duì)服務(wù)器層面的攻擊最典型的就是DDos攻擊，典型的DDos攻擊主要有SYN Flood,UDP Flood,ICMP Flood 等，這些攻擊又稱(chēng)洪水攻擊，其原理基本上都是向服務(wù)器發(fā)送假請(qǐng)求，然后消耗服務(wù)器的計(jì)算資源，直至服務(wù)器癱瘓。

針對(duì)應(yīng)用層面的攻擊比如CC,WAF,跨站等，這些攻擊在一定程度上和DDos這種洪水攻擊類(lèi)似，只是這類(lèi)攻擊偽裝的更好，不容易被發(fā)現(xiàn)和識(shí)別。

針對(duì)這兩類(lèi)攻擊，cdn的抵御方式主要有以下四點(diǎn)：

第一點(diǎn)：隱藏源站

你的網(wǎng)站一旦加了CDN，你的源站IP 就會(huì)被隱藏起來(lái)，也就是你會(huì)有很多ip 地址出現(xiàn)，可以說(shuō)你的CDN服務(wù)商有多少個(gè)節(jié)點(diǎn)，你就有多少了源站IP。

第二：節(jié)點(diǎn)帶寬

這個(gè)點(diǎn)其實(shí)想說(shuō)的是，DDos攻擊又稱(chēng)流量攻擊，或者洪水攻擊，就是突然間涌入大量數(shù)據(jù)請(qǐng)求，讓你的服務(wù)器癱瘓。

但當(dāng)加了CDN以后，攻擊者如果還想攻擊的話(huà)，就只能去攻擊節(jié)點(diǎn)，而普通的一個(gè)節(jié)點(diǎn)帶寬都在千G以上，攻擊要想把節(jié)點(diǎn)打死，就要有足夠的錢(qián)來(lái)支撐。所以很多攻擊者考慮到成本問(wèn)題，就會(huì)放棄攻擊。

第三：智能調(diào)度

CDN的核心其實(shí)不光是節(jié)點(diǎn)、緩存，更重要的是智能調(diào)度，也就是說(shuō)，真的發(fā)生攻擊時(shí)，當(dāng)一個(gè)節(jié)點(diǎn)壓力過(guò)大，CDN的負(fù)載均衡系統(tǒng)，就會(huì)自動(dòng)進(jìn)行分流，來(lái)化解流量的暴增問(wèn)題。

第四：訪(fǎng)問(wèn)次數(shù)和訪(fǎng)問(wèn)流量限制

這里主要針對(duì)一些更隱蔽的攻擊而設(shè)定的方法，比如HTTP類(lèi)的攻擊，對(duì)于同一個(gè)IP，1秒內(nèi)訪(fǎng)問(wèn)上百次這種情況，我們就很容易判斷是否正常的訪(fǎng)問(wèn)，這個(gè)時(shí)候就可以針對(duì)這個(gè)IP作出限制。

訪(fǎng)問(wèn)流量限制，和上面的類(lèi)似，都是對(duì)突發(fā)的、不正常的流量進(jìn)行限制。這些限制性的操作又稱(chēng)流量清洗，一般主要針對(duì)CC類(lèi)攻擊。

目前來(lái)看，市場(chǎng)上并沒(méi)有一款產(chǎn)品能夠100%抵御所以有攻擊。另一方面，使用CDN防御在成本上要比其他工具明顯低的多。

攻擊的本質(zhì)是流量，流量劇增帶來(lái)服務(wù)器計(jì)算資源的枯竭，最后導(dǎo)致網(wǎng)站癱瘓。而CDN設(shè)計(jì)初衷就是解決數(shù)據(jù)暴增帶來(lái)的傳輸問(wèn)題，所以CDN本身就像一個(gè)流量分流器，它可以很好的應(yīng)對(duì)突發(fā)流量，再加上節(jié)點(diǎn)眾多，計(jì)算資源豐富，這樣就能很好抵御大部分流量攻擊。