任何事物要想彻底解决就必须知其然亦知其所以然。想知道如何有效地应对DDOS攻击，就得先清楚什么是DDOS攻击？它是怎样形成的？又有些什么危害呢？

DDOS攻击又叫分布式拒绝服务，它是同一时间利用“肉鸡”将目标服务器发送大量的请求，从而造成目标服务器的宽带拥堵，占领资源，从而无法处理正常合法的访问请求，进面造成巨大的影响。

DDOS攻击在进行时，会对源IP地址进行伪造，达到了它隐藏的目的，而这个时候很难察觉到的，所以这种攻击是很难防御的。被攻击者需要借助第三方DDos保护服务来抵抗防御，靠自身是很难防御的。

目前市面上主要有两种防御方法。一是基于CDN基础上的DDoS防御，也就是CDN高防御方案；二是基于具有大带宽、大DDoS清理能力的高防御节点的DDoS防御，称为高防御IP保护方式。

下面我们一起来看看这两种方式的区别吧！

高防御CDN保护方式(下面简称高防御CDN)是利用足够的分布式CDN节点和具有一定DDoS保护能力的单个CDN节点来实现DDoS保护。总的说来，高防御CDN服务商的CDN节点数量要求在50个以上，单个CDN节点的DDoS保护能力需要在300-1000Gbps之间。

一、网站能更好的运行：CDN节点依据省分布线路,业务流量通过智能DNS解析调度,用户可以通过优化CDN的节点来访问企业网站,从而达到对业务网站的静态资源进行加速,让用户访问延迟大大减少,是不错的经验模式。

二、七层防护能力更有效：由于CDN节点的功能主要是进行七层协议的加速度和转发,从而达到让单个CDN节点具有一定的处理能力,加上分布的大量节点,因此在遇到那些针对URL的DDoS攻击时,流量也被一同会被DNS调度,分离到CDN节点,充足利用整个网诺的带宽达到保护的效果。

三、无法对具有针对性的DDoS攻击进行防御：因为高防CDN节点保护一般是300-1000Gbps，倘若攻击者绑定主机持续攻击指定的节点,或对每个节点IP的进行轮流攻击,一旦攻击流量超过单一CDN节点保护能力,就有可能会导致单CDN节点所有的业务服务停止工作。

假如攻击者依次对单CDN节点进行大流量攻击，就有可能会导致用户的业务在节点间不停切换(单次切换时间大概为2-5分钟)，严重的可能还会导致整个服务中断。

四、共享IP不能区分特殊的攻击：一般来说，CDN节点是通过共享IP段来分配业务。一个IP可以分配到多个域名业务。所以，当一个IP受到DDoS的攻击时，很难区分攻击到底来自哪个域名业务，高防CDN服务商的常规操作是对所有IP相关业务进行回源，这有极大的可能会导致DDoS直接攻击流量源站，或公开给攻击者源站位置,进而造成源站的安全风险急剧增加。

五、支持隐藏源站：高防CDN对外公开的是每个节点的共享IP地址段。通过CDN节点的IP实现才对源站的业务进行转发。攻击者无法通过业务交互获取真实的用户源站，从而保证了源站的安全性。

一、DDoS防护效果好:根据不同客户需求，高防IP厂商通常会提供一个或者多个高防节点来对客户业务进行防护，客户的流量会被抑制到高防节点，而高防节点通常都具备300-1000Gbps的防护能力，只要防护流量最大值大于攻击流量，节点都能轻松应对。

二、网站的加速能力稍弱：高防IP节点一般不超过10个，不像高防CDN，网站加速是通过各省提供的CDNA节点，不过高防IP是通过多个大区域节点、根据地区或对业务静态资源进行缓存加速和调度，并且实现近端访问能力，可以有效地减少源站的带宽资源使用情况。

三、支持隐藏源站：各节点的独立高仿IP是高防御IP暴露在外的。业务的转发，是通过各高防御节点的独立IP。要想保证源站的安全性，就让攻击者无法通过业务交互获取真实的用户源站。

高防IP防护方案分析

高防IP防护方案（下称高防IP）实现DDoS防护是利用在各区域建设的超大带宽及防护能力的DDoS防护节点，总的说来，高防IP服务厂商在全国的防护节点数量不小于50个，单节点的DDoS防护能力均在300-1000Gbps之间。

根据网上各大网盾公司的数据来分析，高防CDN的DDoS防护能力没有高防IP好，但网站加速能力占优势，因而用户对网站加速要求较高的和对DDoS防御需求大于100Gbps的更好选择是CDN高防，比如大型门户网站和其他各类业务。而对网站加速要求不高的、DDos攻击威胁不是很大的时候、并且与源网站具有频繁动态互动的用户可以选用高防御IP，比如游戏业务、互联网金融业务、对外的业务系统和小型推广网站等。

上一篇: 防网站攻击的高防服务器哪里好？它有些什么优势呢？

下一篇: 武汉高防服务器在租用时应该注意什么？