CDN 怎么防御 DDoS 攻击？ CDN 保护网站的原理与实例

CDN 是什么？

CDN（Content Delivery Network，内容传递网路）是一种透过全球多个节点来加速网站与应用程式内容传输的技术。当我们开启网页时，原本存放网站资料的伺服器（原始伺服器）需要将资料传送到我们的装置上，而传输时间可能会受到多种因素影响，例如地理距离、网路连线品质、网路拥塞状况等。

CDN 的概念简单来说，就是在原始伺服器之外，设置多个 CDN 快取伺服器，将图片、CSS、JavaScript 等静态内容暂存于这些节点上，同时也能优化动态内容的传输。当使用者存取网站时，CDN 会根据网路状况，将请求导向最近且最有效率的节点，以减少延迟、提升载入速度，并降低原始伺服器的负担，使网站运作更顺畅。

  以 CDN 阻挡 DDoS 攻击

CDN 不仅能透过多个节点加速网站效能，在资安方面也发挥重要作用，特别是 DDoS（分散式阻断服务）攻击防御。DDoS 攻击是一种透过短时间内发送大量流量，瘫痪目标伺服器或网路的攻击手法。近年来，由于 DDoS 攻击发动容易、成本较低，且能掩护其他恶意网路攻击，因此成为骇客常用的攻击手段。

CDN 的技术透过将不同的存取请求分散至多个节点处理，而非直接进入原始伺服器，有助于降低单一伺服器的负担，并能有效分散 DDoS 攻击流量，提升网站的可用性与防御能力。

将过量的流量导入不同的 CDN 快取伺服器，避免原伺服器短时间内要处理大量流量。进一步来说，CDN 在防御 DDoS 上可以做到：

• 流量分散：当存取请求发生时，CDN 会根据使用者的地理位置和网路状况，将请求导向最适合的快取伺服器。这样一来，即使出现大量流量，CDN 也能即时将流量分散到不同的快取伺服器，减少单一伺服器的负担。
• 流量过滤：除了分散流量，一些 CDN 服务还具备基本的流量过滤功能，可分析存取请求的来源，辨识是否来自恶意流量，并即时拦截 DDoS 攻击，以减少对伺服器的影响。
• 自动扩缩：CDN 快取伺服器可以根据流量需求自动扩展运算资源，动态调整可处理的流量上限，降低因突发性流量激增导致网站当机的风险。

IDC 机房维运 3 策略

然而建立完资料中心后，维护工作更是一大挑战。通常可以分为三个不同的维护策略，根据企业的资源与需求，各有优缺点。

• 预防性维护
  预防性维护是指定期执行的例行任务，即使设备当下并不需要修理也会进行。这种方法能有效预防大多数问题，但有时可能会过度维护，导致成本超出公司预算。

• 可用性维护
  将维护工作以资料中心可用性为主要筛选条件，优先维护影响可用性的部分。企业可将重点放在关键系统上，并根据优先顺序规划维护工作。相对来说，对于业务运作影响较小的系统，维护频率则会降低。

• 预测性维护
  预测性维护通常透过预测 AI 等工具进行，以当下最紧迫的维护事项为优先。此方法仰赖监控系统和资料分析来判断设备的运作状况与可能出现的故障问题，从而进行针对性维护。

除了 CDN 以外，还有什么可以一起防御 DDoS 攻击呢？

虽然 CDN 透过全球节点分散流量、过滤恶意请求及自动扩展资源来防御 DDoS 攻击，但 CDN 并不能完全抵御所有类型的 DDoS 攻击。特别是对于非 HTTP/HTTPS 服务（如邮件伺服器、VPN、企业内部系统等），CDN 无法有效防御。此外，企业的 IP 位址、NAT 设备、代理伺服器及 ISP 等网路基础设施也可能成为攻击目标，针对这类型的 DDoS 攻击，CDN 的防御能力有限。

而另一方面，CDN 可能在某些情况下放大 DDoS 攻击的影响。例如，当攻击者发送大量请求时，CDN 可能会将这些请求转发至原始伺服器，特别是在攻击针对未被快取的内容（Cache Miss） 或动态请求时，可能造成原始伺服器更大负担，这种情况被称为 CDN Bypass Attack。

此外，CDN 防御 DDoS 攻击的模式可分为：「持续缓解（Always Mitigated）」与「持续监控（Always Monitored）」

• 持续缓解（Always Mitigated）： 所有流量都经过即时检查与过滤，以确保恶意流量无法进入，但可能导致误判或额外延迟。
• 持续监控（Always Monitored）： 只有在侦测到攻击时，才会启动 DDoS 防御机制，此模式需要企业投入更多人力进行调整。

防御应采取多层次架构，而非仅依赖 CDN。企业可同时部署地端（On-Premise）与云端 DDoS 防御措施，以提升保护范围与灵活性。此外，采用多家 CDN 供应商的 Multi-CDN 整合方案，能减少对单一厂商的依赖，并提高全球不同区域的网站可用性与效能。

CDN 防御 DDoS 攻击实例

大规模的 DDoS 攻击持续上演。例如，2024 年 9 月，多起针对金融、电信及网路产业的企业受到 DDoS 攻击，其中包括每秒 3.8 TB 的流量攻击持续 65 秒，以及每秒 21.4 亿个封包的攻击持续 60 秒。这些攻击的规模通常需要强大的防御措施来缓解。

CDN 透过路由技术 Anycast，让全球多个伺服器共用相同的 IP 地址，并在该 IP 地址收到请求时，并根据使用者的地理位置将请求导向最近的伺服器处理，有效地将攻击流量分散到不同地区的伺服器，减少单一伺服器的负担，骇客便难以集中攻击单一特定伺服器。比方说，来自新加坡的攻击流量会被 CDN 厂商在当地的伺服器处理，而来自伦敦的攻击流量则会由伦敦伺服器处理。

此外，CDN 服务商在部署伺服器时，也会根据人口密集区域的流量需求配置更多的频宽与运算资源。这样的设计不仅能够有效支持正常流量，还能帮助吸收大量的 DDoS 攻击流量，提升防御效果。

如何挑选 CDN 服务商？

为了防御 DDoS 选择 CDN 服务商时，企业需要考量哪些部分呢？

• CDN 网路涵盖范围：CDN 快取伺服器的地理位置，不仅关系到网页加速的能力，也会影响到可以分散流量的程度。因此可以选择 CDN 涵盖范围较大、快取伺服器较多的服务商，同时选择多个服务商，让 CDN 网路涵盖范围更广。
• 性能与速度：CDN 本身的性能表现，也会影响到缓解 DDoS 攻击时， 是否可以快速处理大量的流量。
• 客制化与配置：CDN 服务商是否能够灵活配置，并与企业的现有架构（例如地端和云端运算）兼容，是有效保护的重要条件。
• 流量分析：精确区分正常流量与恶意流量是 DDoS 防御的第一步，因此 CDN 系统是否具备高效的流量监控与分析工具、分别恶意与正常流量成为关键。
• 技术支援：无论是「持续缓解」或「持续监控」，CDN 都要 24 小时全年无休的运作，才能第一时间侦测到，并抵御 DDoS 攻击。

同时使用多个 CDN 服务商虽然能大幅提升 DDoS 攻击的缓解效果，但对企业而言，整合与配置过程可能会增加成本。晟崴科技提供您全方位的 CDN 服务，从深入了解企业网路架构、选择适合的 CDN 厂商，到提供部署与后续技术支援，全方位保护您免于 DDoS 攻击的威胁。

立即联络晟崴科技，为您量身打造 CDN 解决方案