一、目的

达达云实现了对香港服务器海外节点的加速访问，分区域分线加速，防御来自竞争对手的DDos歹意攻击，常见的延迟CC攻击和致命大流量攻击。针对上述加速策略和两种攻击方式，扼要介绍了几种防御方案。

二、CDN加速

利用第三方的DNS智能解析分区域分线路进行，就近原则，例如Cloudxns/DNSpod/51DNS/DNSla等。

1.CDN节点选择：

主要节点选择香港VPS，其他节点根据利用的部署区域进行优选(马来、新加坡、柬埔寨、菲律宾等)，旁路做流量清算(遭受攻击)，可选择美国高防御VPS引流。

2.自建CDN优势：

旁路做流量清洗

资源充分利用：无攻击时，做路由加速，被攻击时做节点切换

长远计划，后期可增加节点、硬件配置等，根据需要自由提升防御DDOS攻击能力

3.架构设计：

我们将CDN节点分解成反向代理+缓存加速+攻击防御这三个层次的功能结构。

反向代理:路由加速，隐藏主节点，负载均衡

缓存加速：静态推送，节省后端主节点带宽

攻击防御：快速解析，建立syslog分析日志，匹配过滤歹意攻击，多节点CDN可以采取联动方案，建立syslog系统，收集所有节点访问日志，编写脚本分析日志，发现异常要求后通过ansible工具发送命令到节点。

三、攻击防御

1.延缓性CC攻击：

这类攻击的主要特点是，攻击者借助网络上提供的大量代理服务器IP，使用攻击软件，生成合法要求指向受害主机。这类攻击本钱低，网上现成能发动攻击软件多，其目的是通过渐增的垃圾要求，消耗CPU、内存、网络资源，造成拥堵，到达网站访问变慢，直至没法访问。

2.防御思路：

这类攻击有两个特点比较明显，第一个特点，由因而人为生成了大量的非法要求，所以会引发网络的入口异常流量增大（正常情况下出口流量大，入口流量小）；

第二个特点，攻击力度有一个渐增的进程，机器可以充分利用这个时间智能做出反应，调用日志分析脚本，进行引流和IP封杀。

具体策略：

1、采取监控软件的流量监控来触发日志分析脚本（zabbix为例）

2、采取python脚本统计入口流量，发现异常时，调用日志分析脚本，第一时间找出IP、Agent等特点码，利用iptables对歹意IP进行过滤，利用层上利用nginx关键词进行过滤。

致命的大流量攻击：

这类攻击主要特点是，通常以tcp，icmp和UDP（特别是UDP包，单UDP的数据包可以很大）方式为主，攻击流量可以到达几十GB以上，全部机房都能遭到影响，攻击者通常利用大量肉鸡，对目标进行流量打击，此时流量会迅速占满服务器的带宽，致使没法响应任何用户要求。

这类攻击需要购置大量带宽，对攻击者来讲，本钱还挺高，但是下手“快狠准”，让网站在短时间内完全无响应。

由于这类攻击会引发流量剧增，IDC通常采取的措施是丢车保帅，直接将被攻击IP下线，这无疑是落井下石。

3、防御思路：

架设硬防火墙（本钱高）

租用高防节点

租用大流量CDN分散目标流量（引流）

久长之计，自建CDN

4、防御策略：

HAProxy+Nginx/Varnish/ATS组合，我们称它为防御型反向代理缓存策略，功能角色以下：

HAProxy负责消息资源分离，实现会话粘滞，节点负载均衡，故障转移，开启HAProxy的httplog功能，做日志记录

Nginx负责反向代理缓存

四、架构细节

DNS智能解析+轮询+存活监测：

1.部署智能DNS就近匹配CDN节点

我们自建CDN其中一个目的是做访问优化，因此当部署完多个CDN节点后，为使这些节点协同运作，同时优化用户的访问路径，使得访客能够根据自己所在的区域和线路类型，就近从CDN节点上获得页面内容，从而优化访客的路由。

2.DNS自动轮询+故障监测

利用DNS轮询来为网站进行分流负载。如果条件充裕，后期可以部署冗余的CDN节点，这样既能减缓某个单一节点的负载，同时能为节点作互备，当一个区内的CDN节点因故障失效以后，调度机制要在最快时间内将故障节点的流量牵引至当前可用节点，不影响访客的正常要求。

3.日志分析+攻击防御：

CDN作为网站的前端节点，实时记录着访客的所有访问行动。利用好这些访问日志，对其进行的分析和发掘，感知业务层面的一些异常活动，当面临DDoS攻击时，能够提供足够的证据来辨别歹意的IP。

辨别歹意攻击的主要根据类型有：

某个IP发起大量的并发要求

大量连续的IP段发起要求

大量无规则的IP发起要求

目前我们对HAProxy的日志分析仅作用于单节点，可以利用下面的CDN图形化管理工具对日志进行统一管理。

4.多节点CDN图形化管理工具：

管理和运维一套CDN系统是一件很麻烦的事，想要实现快速部署、集中管理，我们可以利用软件工具来管理所有CDN节点，这里采取Fikker。

达达云的高防CDN是国内首家既能防御还可以加速的一款CDN产品，具有多年的防护经验，全球各地都有丰富的IDC资源，自动散布节点，保证质量保证品质保证快而稳的客户体验。