DDoS防御选高防IP还是高防CDN?

DDoS攻击是以带宽消耗为攻击特征的网络攻击手段，受攻击者一般难以独立防御，必须寻找第三方DDoS协助防御的防护服务。目前市场上主要有两种防护方案，一种是基于CDN进行DDoS防御，简称高防CDN另一种防护方案是基于超大带宽和超大带宽DDoS高防节点的清洗能力DDoS防御，简称高防IP防护方案。本文将详细分析比较这两种方案的防护特点，见下文。

一、高防IP防护方案分析

高防IP防护方案(以下简称高防IP）利用各区域建设的超大带宽和防护能力DDoS实现防护节点DDoS一般来说，高防IP厂商在全国的防护节点数量为2-10个，单节点的DDoS防护能力一般为300-1000Gbps之间。

高防IP防护具有以下三个特点：

1、DDoS防护效果好：

针对不同客户的需求，高防IP制造商通常提供一个或多个高防节点来保护客户业务，所有客户流量将收敛到高防节点，而高防节点通常有300-1000个Gbps只要攻击流量小于节点的最大保护能力，节点就能轻松应对。

2.网站加速能力：

高防IP节点一般在10个以内，不像高防CDN同样，由各省提供CDN网站加速节点，但防御力高IP还可以根据区域或线路提供多个区域节点，缓存和加速业务静态资源DNS调度可有效减少源站带宽资源的使用，实现按区域或线路近源访问的能力。

三、支持隐藏源站：

高防IP对外暴露的是节点的独立高防IP，独立于各高防节点IP实现业务转发，攻击者无法通过业务交互获得真正的用户源站，从而保证源站的安全。

二、高防CDN防护方案分析

高防CDN防护方案(以下简称高防CDN）利用足够的分布CDN节点以及单CDN有一定的节点DDoS实现保护能力DDoS保护。一般来说，高防CDN厂商的CDN节点数量大于50个，单个CDN节点的DDoS20-100的防护能力Gbps之间。

高防CDN防护具有以下五个特点：

1.网站加速能力好:

CDN节点一般按省分布，业务流量一般通过DNS用户可以通过智能分析进行调度CDN访问访问业务网站，CDN节点可以对业务网站中的静态资源进行加速，因此用户的访问时延会大大降低，体验会比较好。

2、七层防护能力较好：

由于CDN节点的主要功能是加速和转发七层，所以单层CDN节点具有一定的处理能力，加上许多节点的分布，因此是针对性的URL的DDoS流量会在攻击时被攻击DNS调度，分散到每一个CDN节点，充分利用全网带宽实现有效保护。

3.针对性无法防御DDoS攻击：

由于高防CDN节点的防护能力一般在20-100Gbps若攻击者绑定HOST攻击或针对每个节点指定节点IP只要攻击流量超过单，轮流发起攻击CDN节点的保护能力会导致单个CDN如果攻击者针对，节点中断所有业务服务CDN节点依次发起超大流量攻击，会导致节点间用户业务不断切换(单次切换时间约2-5分钟)，甚至中断整个服务。

4、共享IP具体攻击无法区分：

CDN共享通常用于节点IP一段分配业务IP如果是一个，可以加载多个域名的业务IP遭受DDoS攻击，因为无法区分攻击来自哪个域名业务，高防CDN制造商的一般做法是将IP回源所有相关业务域名，会导致攻击流直接牵引到源站，或者将源站暴露给攻击者，导致源站安全风险急剧增加。

5.支持隐藏源站:

高防CDN每个节点的共享都暴露在外IP通过地址段CDN节点IP攻击者无法通过业务交互获得真正的用户源站，从而保证源站的安全。

根据以往微云网络的客户数据，高防CDN的DDoS防护能力弱于高防IP，但网站加速能力占主导地位。因此适用于网站加速要求高，DDoS防御要求小于100Gbps大型门户网站等用户IP对网站加速要求不高，DDoS游戏业务、互联网金融业务、小型推广网站、对外业务系统等攻击威胁不明确、与源站动态交互频繁的用户。企业可以根据自己的需要做出合理的选择。