1. 攻击检测阶段
CDN 本身有监控模块,会实时监测以下指标:
-
流量异常:带宽突增(例如正常 1Gbps 突然涨到 50Gbps)。
-
QPS(请求数/秒)异常:访问量突然成倍增长,尤其是针对单个页面或接口的高频访问。
-
来源 IP 特征:短时间内涌入大量相似或可疑的 IP(肉鸡/代理/僵尸网络)。
一旦触发阈值(如带宽超出正常 3 倍、QPS 瞬时爆炸等),就进入防御模式。
2. 自动切换防御策略
CDN 并不是"一刀切",而是分层防御,策略会逐步叠加:
(1)DDoS 大流量攻击
-
黑洞/限速:如果流量超过阈值,CDN 节点会启用自动丢弃(黑洞)或限速。
-
Anycast + 就近分流:将攻击流量打散到全球/全国的多个 CDN 节点,避免单点过载。
-
清洗中心:高防节点把恶意流量(UDP Flood、SYN Flood 等)清洗掉,只回源正常流量。
(2)CC(应用层攻击)
-
Rate Limit(限速):对单 IP、单 URI、单 Session 的请求进行限速。
-
JS Challenge / Cookie 验证:攻击程序无法像正常浏览器那样执行 JS 或处理 Cookie,从而被过滤掉。
-
Captcha(验证码):强制可疑流量做人机验证。
-
WAF 规则:拦截明显异常的请求头、参数(比如空 User-Agent,重复 Referer 等)。
3. 切换机制(智能调度)
CDN 的调度系统负责"什么时候切换":
-
预设阈值:如带宽超过 5Gbps → 自动切到高防节点。
-
实时 AI/规则分析:判断流量特征,如果是恶意 CC 攻击 → 切换到带有 WAF/限速规则的线路。
-
分区处理:不是所有用户都受影响,CDN 会只对攻击目标区域的节点启用防御,正常区域不受影响。
4. 回源保护
-
在防御期间,CDN 一般会 隐藏源站 IP,攻击者很难直接打到源站。
-
如果发现攻击绕过 CDN 打源站,CDN 调度器会自动调整 IP 或强制回源走安全通道(GRE/IPSec 隧道)。
✅ 总结一下:
CDN 在遇到 DDoS/CC 攻击时,是 先监测 → 触发阈值 → 智能调度 → 分层防御 的过程。大流量攻击主要靠 清洗 + 分流 ,应用层攻击主要靠 验证 + 限速 + WAF。切换动作大部分是自动化完成,管理员只需要在后台观察和做策略调整。当然我们也具备7*24小时的在线客服,不担心遇到攻击没人处理的情况。