CDN加速：香港服务器cdn加速与ddos防御方案

　　【热门产品】美国云服务器托管丨香港服务器托管

　　【精选文章】香港服务器托管收费

CDN加速

　　一、目的

　　香港服务器实现国外节点的访问加速，分区域分线路加速，防御来自竞争对手的ddos恶意攻击，常见的延缓性cc攻击和致命的大流量攻击。针对以上的加速策略和两种攻击方式进行一些防御方案的简单介绍。

　　二、cdn加速

　　利用第三方的dns智能解析分区域分线路进行，就近原则，例如cloudxns/dnspod/51dns/dnsla 等。

　　cdn节点选择：

　　主节点选择香港Vps，其他节点根据应用部署区域进行优选（马来、新加坡、柬埔寨、菲律宾等），旁路做流量清洗（遭遇攻击），可以选择美国的高防Vps进行引流。

　　自建cdn优势：

　　旁路做流量清洗

　　资源充分利用：无攻击时，做路由加速，被攻击时做节点切换

　　长远规划，后期可增加节点、硬件配置等，根据需要自由提升防御ddos攻击能力

　　架构设计：

　　我们将cdn节点分解成反向代理+缓存加速+攻击防御这三个层次的功能结构。

　　反向代理: 路由加速，隐藏主节点，负载均衡

　　缓存加速：静态推送，节省后端主节点带宽

　　攻击防御：快速解析，建立syslog分析日志，匹配过滤恶意攻击，多节点cdn可以采用联动方案，建立syslog系统，采集所有节点访问日志，编写脚本分析日志，发现异常请求后通过ansible工具发送命令到节点。

　　三、攻击防御

　　延缓性cc攻击：

　　这类攻击的主要特点是，攻击者借助网络上提供的大量代理服务器 ip，使用攻击^{<美国 vps>}软件，生成合法请求指向受害主机。这类攻击成本低，网上现成能发动攻击软件多，其目的是通过渐增的垃圾请求，消耗cpU、内存、网络资源，造成拥堵，达到网站访问变慢，直至无法访问。

　　防御思路：

　　这类攻击有两个特征比较明显，第一个特征，由于是人为生成了大量的非法请求，所以会引发网络的入口异常流量增大（正常情况下出口流量大，入口流量小）；

　　第二个特征，攻击力度有一个渐增的过程，机器可以充分利用这个时间智能做出反应，调用日志分析脚本，进行引流和ip封杀。

　　具体策略：

　　1、采用监控软件的流量监控来触发日志分析脚本（zabbix 为例）

　　2、采用python脚本统计入口流量，发现异常时，调用日志分析脚本，第一时间找出ip、Agent等特征码，利用iptables对恶意ip进行过滤，应用层上利用nginx关键词进行过滤。

　　致命的大流量攻击：

　　这类攻击主要特点是，通常以 tcp，icmp 和 Udp（尤其是 Udp 包，单 Udp 的数据包可以很大）方式为主，攻击流量可以达到几十gb以上，整个机房都能受到影响，攻击者通常利用大量肉鸡，对目标进行流量打击，此时流量会迅速占满服务器的带宽，导致无法响应任何用户请求。

　　这类攻击需要购置大量带宽，对于攻击者来说，成本还挺高，但是下手“快狠准”，让网站在短时间内完全无响应。

　　由于这类攻击会引起流量剧增，idc通常采取的措施是丢车保帅，直接

　　将被攻击ip下线，这无疑是落井下石。

　　防御思路：

　　架设硬防火墙（成本高）

　　租用高防节点

　　租用大流量cdn分散目标流量（引流）

　　长久之计，自建cdn

　　防御策略：

　　HAproxy+nginx/ Varnish/Ats组合，我们称它为防御型反向代理缓存策略，功能角色如下：

　　HAproxy负责动静资源分离，实现会话粘滞，节点负载均衡，故障转移，开启 HAproxy 的 httplog 功能，做日志记录

　　nginx负责反向代理缓存

　　四、架构细节

　　dns智能解析+轮询+存活监测：

　　1.部署智能dns就近匹配cdn节点

　　我们自建cdn其中一个目的是做访问优化，因此当部署完多个cdn节点后，为使这些节点协同运作，同时优化用户的访问路径，使得访客能够根据自己所在的区域和线路类型，就近从cdn节点上获取页面内容，从而优化访客的路由。

　　2.dns自动轮询+故障监测

　　利用dns轮询来为网站进行分流负载。如果条件充裕，后期可以部署冗余的cdn节点，这样既能缓解某个单一节点的负载，同时能为节点作互备，当一个区内的cdn节点因故障失效之后，调度机制要在最快时间内将故障节点的流量牵引至当前可用节点，不影响访客的正常请求。

　　3.日志分析+攻击防御：

　　cdn作为网站的前端节点，实时记录着访客的所有访问行为。利用好这些访问日志，对其进行的分析和挖掘，感知业务层面的一些异常活动，当面临ddos攻击时，能够提供足够的证据来区分恶意的ip。

　　^{<直播app服务器>} 区分恶意攻击的主要依据类型有：

　　某个ip发起大量的并发请求

　　大量连续的ip段发起请求

　　大量无规则的ip发起请求

　　目前我们对HAproxy的日志分析仅作用于单节点，可以利用下面的cdn图形化管理工具对日志进行统一管理。

　　4.多节点cdn图形化管理工具：

　　管理和运维一套cdn系统是一件很麻烦的事，想要实现快速部署、集中管理，我们可以利用软件工具来管理所有cdn节点，这里采用Fikker 。

　　高防cdn是国内首家既能防御还能加速的一款cdn产品，拥有多年的防护经验，全球各地都有丰富的idc资源，自动分布节点，保证质量保证品质保证快而稳的客户体验。详询本公司客服电话400-630-3752。

　　有关在香港租用防攻击服务器的说明

　　跟着互联网技能的飞速成长，涉足外洋电商商业企业日益倍增，海外服务器需求越来越多。网站进攻的案例层出不穷，造成企业数据泄露、丢失甚至服务器瘫痪导致庞大贸易损失，香港防攻击服务器的诸多优势，成为很多企业^{<香港大带宽服务器>}服务器增强防御的不二之选，下面就来说说选择香港防攻击服务器要留意些什么?

　　1.香港防攻击服务器机房的选择

　　可先在网上相识一下心里有个底，再让运营商提供资料，具体相识下该机房的状况，包罗局限、带宽、设备、硬防、售后团队等各方面，一个机房的局限大小抉择了他的技能实力，有实力的机房的香港防攻击服务器才是值得信赖的。

　　2.香港防攻击服务器的方案

　　真正防护好的香港防攻击服务器，不只仅是去靠硬防防护进攻，并且在硬防上做计策，应对差异种类的进攻，好比CC可能DDOS进攻，这就不是要靠普通一块硬件防火墙就能防护的，还要通过安装防护计策才更有保障。所以一个机房有着必备的网络工程师实时在线防护计策配置也是很重要的。

　　3.香港防攻击服务器的配置

　　不贪自制也不追求高配，最适合本身的香港防攻击服务器才最重要。选择的时候切记按照本^{<游戏服务器>}身的需要去选择，设置太高挥霍，设置太低影响机能。按照网站的性质，选择符合的带宽:文字、论坛类的网站，凡是是占用资源最小的，默认的带宽就足够用;而下载、视频、影戏类的网站则对带宽的占用量较量大，一般环境下推荐用独享的带宽。

　　4.香港防攻击服务器IP段测试

　　是不是香港高防服务器租用测测就知道。在租用香港高防服务器之前可以找到该香港服务器idc服务商要到高防ip段亲自测测就知道是不是真实防御了，这是最实在、最直接的方法了。

　　5.选择好的IDC服务商

　　一家好的供给商，不只产物质量以及售后有保障，并且会帮你办理利用进程中碰着的贫苦。判定一家公司的实力可以大到从他的资质、资历、行业职位判定;小到网站内容、相助客户、客户评价、甚至公司人数、地点等。多方面综合思量一个供给商的实力。

　　便宜服务器租用托管提供香港高防服务器出自香港九龙湾机房，是香港少数拥有多线路直连中国大陆运营商的多线机房，该香港防攻击服务器拥有直连中国电信、中国移动，中国联通的多条直连大陆线路，满足南电信北网通特性，是大陆全地区直连香港最快的防攻击服务器!

　　YINGSOO：www.Yingsoo.com