【IT168资讯】2012年9月14日消息，由盛拓传媒旗下的IT168、ChinaUnix、ITPUB联合主办为期三天(2012年9月13日~2012年9月15日)的第四届中国系统架构师大会于在北京永泰福朋喜来登酒店隆重召开。来自百度、淘宝、腾讯、IBM、新浪、网易、奇虎360等IT巨头的讲师分享了业界非常先进的技术经验与趋势。

▲网宿科技产品架构师 武志鹏

　　　网宿科技产品架构师 武志鹏 在大会上以“基于CDN云分发平台的DDoS攻击防护方案”为主题为与会的架构师进行了精彩的分享。

　　中国DDos攻击频繁

　　我国境内日均发生攻击总流量超过1G的较大规模的DDos攻击事件365起。受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省级政府网站都遭受过流量转嫁攻击，且这些流量转嫁事件多数是由游戏私服网站争斗引起的。

▲近年来一些DDos攻击事件

　　　网宿DDos攻击防护的思考

　　1. 网宿拥有国内最大带宽容量的CDN平台，整体带宽存储量超过1500Gbps。

　　2. 网宿通过多年的运营积累了丰富的DDos攻击防护经验，针对不同类型的攻击进行了针对性的防御，可以防御各种DDos攻击：SYN Flood、UDP Flood、ICMP Flood、HTTO GET/POST Flood、CC Flood、DNS Query Flood等。

　　3. 在为客户网站提供安全保护的同时，也提供了CDN加速服务，提升用户体验，做到客户网站“平”是“加速”，“攻”时“防护”。

　　4. 利用CDN多年数据分析经验积累，对攻击数据进行多角度的分析，以利于客户对攻击进行跟踪与后续处理。

▲网宿DDos攻击防护方案

▲网宿科技DDos防护方案功能介绍

　　　网宿CDN加速拥有强大的网络分发系统，可将客户网站的内容分发至网宿科技全网服务节点，并进行智能调度和缓存，使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

　　源站隐藏功能，就是设置CDN安全节点，这样使攻击者无法找到源站位置，这样就可以保护源站了;对于抗SYN Fllod攻击，网宿是针对SYN攻击特征和协议栰低效的现状，在系统底层做了针对性的开发与性能优化，对SYN包做高效地响应和处理，使得防御SYN攻击的性能大幅提升。

　　对于抗SYN Flood攻击，使用网宿方案的CPU使用率只有10%;对于抗HTTP攻击，第一个策略是CDN安全节点根据单位时间内同一IP的访问次数进行限制，第二个策略是CDN安全节点根据单位时间内的总访问流量进行限制，第三个策略是CDN安全平台根据单位时间内所有服务器总访问流量进行限制。

　　对于抗DNS Query Flood攻击，网宿使用自主开发的GDNS作为DNS，针对DNS Query Fllod做了相应侧路，单台服务器相比Bind抗攻击性能提升20倍以上，并通过集群化分布式的部署，使得整体系统具有很强的抗攻击能力。