cdn能防御ddos吗DDOS攻击网站能不能被防御呢？

谁能给具体讲解下CDN加速 和 DDOS攻击啊

厄，先讲下肉鸡.肉鸡就是机房里无人管理或者被黑的服务器，有的机房管理松散，不少服务器被攻击者抓取当肉鸡。

ddos攻击，就是抓取N个这样的肉鸡，模拟访问者发起访问，使用大量的肉鸡发送访问请求，当请求远远超出服务器承受能力的时候，服务器就挂了，这个就是ddos攻击。

cdn相当于镜像+智能解析。

在全国按照区域分布服务器，在做域名解析的时候，通过智能解析，分析访问者来自哪个区域，如果是北京联通，就连接到北方的联通节点，如果是广东电信，就链接到南方电信的节点。

cdn是通过静态缓存来实现加速的，把源服务器上静态的内容缓存到各地的服务器节点上，因此，图片下载可以使用，如果是服务器登录等动态的内容不适合做cdn，因为cdn也需要回源。

如果回原过于多，反而会宕机。

cdn不接ddos攻击，如果是一般的病毒公司或者其他攻击，cdn公司会接，当然了，你别说你是为了屏蔽源服务器。

但是ddos，如果有攻击的话，cdn公司需要你付流量费，ddos的流量。

。

不是那个普通公司能承受的住的。

DDOS攻击网站能不能被防御呢？

很多企业长期遭受DDoS攻击，尤其是棋牌类、金融业等企业。

目前攻击成本太低，造成很多企业要长期面对竞争对手或者其他组织个人的的DDoS攻击。

想要改变这种局面，可以选择购买DDoS高防IP，但是价格又太贵，那么如何缓解DDoS攻击呢？ 缓解DDoS攻击的方法 他人发起DDoS攻击你，那是外因，我们改变不了。

但是我们可以从内做防御，缓解DDoS攻击。

一般是从减少暴漏、优化架构、服务器加固、业务监控、商业解决方案等几方面着手。

减少暴漏 攻击之前，对方会扫描你的开放端口，针对你所提供的服务，让僵尸网络合法侵占你的资源。

所以我们尽量避免将服务器的端口暴漏在公网上。

优化业务架构 运营前期，技术团队都会对业务架构进行压力测试，但很多时候，企业处于成本考虑，没有做好弹性和冗余，这导致我们在面对攻击时，变得不堪一击。

部署弹性伸缩+负载均衡：负载均衡能够降低单台ECS的压力，可以有效缓解一定流量范围内的连接层DDoS攻击；负载均衡可以有效的缓解会话层和应用层攻击，在遭受攻击时自动增加服务器，提升处理性能，避免业务遭受严重影响。

余量带宽：利用TCP三次握手可以发起DDoS攻击，占用你的宽带资源，所以在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

服务安全加固 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本： 确保服务器的系统文件是最新的版本，并及时更新系统补丁。

对所有服务器主机进行检查，清楚访问者的来源。

过滤不必要的服务和端口。

例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

限制同时打开的SYN半连接数目，缩短SYN半连接的timeout时间，限制SYN/ICMP流量。

仔细检查网络设备和服务器系统的日志。

一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。

限制在防火墙外进行网络文件共享。

降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能将会陷入瘫痪。

充分利用网络设备保护网络资源。

在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。

通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接、传输速率。

商用安全方案 事实上，当企业一直遭受大规模的DDoS攻击时，以上几种防御方法，显得很渺小，分分钟几十G上百G的攻击流量，只能通过寻求商业安全解决方案来解决。

例如，国内比较受中小站长欢迎的防御DDoS攻击明星产品：百度云加速CDN，具备1Tbps的压制能力的抗D中心，拥有自有DDoS/CC清洗算法，可有效帮助网站防御SYN Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Proxy Flood、CC等常见的洪水攻击。

从而彻底解决了中小型网站在面对DDoS攻击时预算不足的尴尬，也为所有防护网站的稳定运行提供保障。

相关链接