當下網(wǎng)絡(luò )攻擊主要兩類(lèi)，一類(lèi)是針對服務(wù)器層面的攻擊，另一類(lèi)就是針對應用層面的攻擊，針對服務(wù)器層面的攻擊最典型的就是DDos攻擊，典型的DDos攻擊主要有SYN Flood,UDP Flood,ICMP Flood 等，這些攻擊又稱(chēng)洪水攻擊，其原理基本上都是向服務(wù)器發(fā)送假請求，然后消耗服務(wù)器的計算資源，直至服務(wù)器癱瘓。

針對應用層面的攻擊比如CC,WAF,跨站等，這些攻擊在一定程度上和DDos這種洪水攻擊類(lèi)似，只是這類(lèi)攻擊偽裝的更好，不容易被發(fā)現和識別。

針對這兩類(lèi)攻擊，cdn的抵御方式主要有以下四點(diǎn)：

第一點(diǎn)：隱藏源站

你的網(wǎng)站一旦加了CDN，你的源站IP 就會(huì )被隱藏起來(lái)，也就是你會(huì )有很多ip 地址出現，可以說(shuō)你的CDN服務(wù)商有多少個(gè)節點(diǎn)，你就有多少了源站IP。

第二：節點(diǎn)帶寬

這個(gè)點(diǎn)其實(shí)想說(shuō)的是，DDos攻擊又稱(chēng)流量攻擊，或者洪水攻擊，就是突然間涌入大量數據請求，讓你的服務(wù)器癱瘓。

但當加了CDN以后，攻擊者如果還想攻擊的話(huà)，就只能去攻擊節點(diǎn)，而普通的一個(gè)節點(diǎn)帶寬都在千G以上，攻擊要想把節點(diǎn)打死，就要有足夠的錢(qián)來(lái)支撐。所以很多攻擊者考慮到成本問(wèn)題，就會(huì )放棄攻擊。

第三：智能調度

CDN的核心其實(shí)不光是節點(diǎn)、緩存，更重要的是智能調度，也就是說(shuō)，真的發(fā)生攻擊時(shí)，當一個(gè)節點(diǎn)壓力過(guò)大，CDN的負載均衡系統，就會(huì )自動(dòng)進(jìn)行分流，來(lái)化解流量的暴增問(wèn)題。

第四：訪(fǎng)問(wèn)次數和訪(fǎng)問(wèn)流量限制

這里主要針對一些更隱蔽的攻擊而設定的方法，比如HTTP類(lèi)的攻擊，對于同一個(gè)IP，1秒內訪(fǎng)問(wèn)上百次這種情況，我們就很容易判斷是否正常的訪(fǎng)問(wèn)，這個(gè)時(shí)候就可以針對這個(gè)IP作出限制。

訪(fǎng)問(wèn)流量限制，和上面的類(lèi)似，都是對突發(fā)的、不正常的流量進(jìn)行限制。這些限制性的操作又稱(chēng)流量清洗，一般主要針對CC類(lèi)攻擊。

目前來(lái)看，市場(chǎng)上并沒(méi)有一款產(chǎn)品能夠100%抵御所以有攻擊。另一方面，使用CDN防御在成本上要比其他工具明顯低的多。

攻擊的本質(zhì)是流量，流量劇增帶來(lái)服務(wù)器計算資源的枯竭，最后導致網(wǎng)站癱瘓。而CDN設計初衷就是解決數據暴增帶來(lái)的傳輸問(wèn)題，所以CDN本身就像一個(gè)流量分流器，它可以很好的應對突發(fā)流量，再加上節點(diǎn)眾多，計算資源豐富，這樣就能很好抵御大部分流量攻擊。