服务器遭到DDoS攻击选高防IP还是CDN？

DDoS攻击是以带宽消耗为主要是以网络攻击方法。一般来说，攻击者很难独立防御，他们必须找到第三方DDoS保护服务来协助防御。目前，市场上主要有两种防护方案，一种是基于CDN的DDoS防御方案，称为CDN高防方案；另一种是基于超高带宽和超大DDoS清洗能力的高防护节点，称为高防IP防护方案。下面为大家分析比较以下两种方案。

高防御CDN防护解决方案(以下简称高防御CDN)是通过足够的CDN节点和单个CDN节点来实现DDoS防护，使其具有一定的DDoS防护能力。一般来说，高防御CDN厂商的CDN节点数大于50个，单个CDN节点的DDoS防护能力在20-100Gbps之间。

CDN高防有以下五个特点：

1、网站加速能力好：CDN节点一般按省、线分布，业务流量一般通过智能DNS解析进行调度。用户可以通过优化的CDN节点访问商业网站。CDN节点可以加速静态资源，从而大大降低用户的访问延迟，提高用户体验。

2、七层保护能力更好：由于CDN节点的主要功能是加速和转发七层，所以单个CDN节点有一定的处理能力，加上大量的分布式节点，所以当DDoS攻击URL时，流量将通过DNS进行调度，并分配到每个CDN节点，充分利用整个网络的带宽，实现有效的保护。

3、无法抵御目标DDoS攻击：由于高防CDN节点保护能力一般在20-100Gbps之间，如果攻击者绑定主机指定要攻击的节点，或者依次对每个节点IP发起攻击，只要攻击流量超过一个，CDN节点的保护能力就会导致单个CDN节点的所有业务服务中断。而攻击者依次对CDN节点发起大容量攻击，将导致用户业务在节点间连续切换(单次切换时间约2-5分钟)，甚至可能导致整个服务中断。

4、共享IP无法区分指定的攻击：CDN节点通常使用共享IP段来分发服务。一个IP可以加载多个域名服务。因此，如果IP受到DDoS攻击，由于无法区分攻击来自哪个域名服务，高防御CDN供应商的一般做法是将所有与IP相关的业务域名返回到源。这种方法会导致攻击流量直接流向源站点，或者将源站点暴露给攻击者，导致源站点的安全风险急剧增加。

5、支持隐藏源站点：高防御CDN公开每个节点的共享IP地址段。CDN节点IP实现了对源站点的业务转发。攻击者无法通过业务交互获取真正的用户源站点，从而确保源站点的安全。

高防护IP保护方案分析

高防IP防护方案(以下简称高防IP)利用各地区建立的DDoS防护节点实现DDoS防护。一般来说，国内高防IP厂商数量为2-10家，单节点DDoS防护能力一般在300-1000Gbps之间。

高抗IP保护具有以下三个特点：

1、DDoS防护效果好：根据不同客户的需求，一般由高防IP厂商提供一个或多个针对客户的高防御节点如果用户的业务受到保护，客户的所有流量将汇聚到高防御节点，高防御节点一般具有300-1000Gbps的保护能力。只要攻击流量小于节点的最大保护能力，节点就可以轻松响应。

2、网站加速能力稍弱：高防御IP节点一般在10个以内，不能通过各省提供的CDN节点来加速网站，但高防御IP也可以提供多个大面积节点。静态资源的缓存加速和按大区域或线路进行DNS调度，可以有效减少源站带宽资源的使用，实现大区域或线路对近源的访问能力。

3、支持隐藏源站点：高防IP暴露每个节点的独立高清晰IP，通过每个高防节点的独立IP实现业务转发。攻击者无法通过业务交互获取真正的用户源站点，从而确保源站点的安全。

根据以上比较结果，CDN高防DDoS防护能力弱于高防IP，但网站加速能力强，适合网站加速要求高、DDoS防御要求低于100Gbps的用户，如大型门户网站等业务。高防御IP适用于对网站加速要求不高、DDoS攻击威胁不明、与源网站动态交互频繁的用户，如游戏服务、互联网金融服务、小型推广网站、外部业务系统等。

目前，100Gbps以下的DDoS攻击非常少，攻击流量还在不断扩大。如果要有效抵御DDoS攻击，单节点的最大保护能力是最重要的。在这次袭击中，生意没有受到影响。因此，在当前DDoS攻击的发展趋势中，当用户选择DDoS防护方案时，建议首先选择高防护IP。