关于DDoS防护

分布式拒绝服务（DDoS）攻击是一种恶意行为，攻击者通过控制僵尸网络/代理设备等，向目标网站或服务器发送大量请求或数据，导致正常用户访问网站加载缓慢，甚至完全无法访问。

CDNetworks依托CDN资源优势，结合大数据分析，自主研发防护算法，实时检测和清洗各类DDoS攻击流量，包括网络层DDoS以及应用层DDoS防护，确保网站在遭遇大规模DDoS攻击时仍能稳定在线。

网络层DDoS防护

CDNetworks 默认自动检测并缓解 OSI 模型 3/4 层 DDoS 攻击，包括 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、各种反射攻击（如 NTP 反射、Memcache 反射、SSDP 反射）等。

应用层DDoS防护

应用层DDoS防护服务基于智能防护引擎，融合​​内置规则防护​​与​​AI智能防护​​双重机制，通过自动化攻击检测与动态防护策略调整，保障业务在应用层（如HTTP/HTTPS）遭受DDoS攻击时的可用性与稳定性。详细的整体防护机制说明如下。

双重机制协同防护

1. 内置规则防护​​
CDNetworks构建的内置防护规则集，基于海量攻击特征库与CDNetworks安全专家团队攻防对抗经验沉淀，预置针对异常请求参数、协议规范违规、可疑高频请求等常见应用层攻击的规则。规则集部署于CDNetworks全球分布式边缘节点，以支持秒级精准攻击匹配与拦截。

2. AI智能防护​​

• 自动化攻击监测​​​：基于CDNetworks安全大数据平台能力，通过机器学习模型持续分析网站的业务请求基线，持续监控域名流量特征、请求分布、源站响应状态等指标，实时判定攻击类型、攻击强度以及源站状态。

• ​​自适应防护策略​​：根据所选防护等级以及检测的攻击状态，自动切换防护模式：
  当域名遭受CC攻击时，优先自适应启用内置规则进行拦截。
  当内置规则未完全拦截攻击，源站可用性仍受到威胁时，系统将结合自主研发的算法，自动识别异常攻击请求并生成防护规则，实现动态封禁、人机验证、请求限速等多维度处置，有效缓解新型应用层DDoS攻击以保护源站。

整体防护逻辑

1. 域名接入，学习开始​
新域名接入时，引擎将根据所选的防护等级自动下发预设阈值，确保业务在初始阶段即可获得及时防护；同时，引擎将通过2-6小时的域名流量学习，生成业务专属防护阈值与AI防护规则，并每小时动态更新，实现攻击精准定位与自适应防护。

2. 第一道防线 - 边缘防护开启，快速拦截​
当域名遭受少量CC攻击时，部署于边缘节点的 “攻击时启用” 内置规则将快速生效，实现攻击秒级拦截与处置。

3. 第二道防线 - 全域名防护开启，大量清洗
当系统检测到攻击流量进一步持续增大，将以全域名维度下发 “攻击时启用” 内置规则，实现全域攻击流量清洗。

4. 第三道防线 - AI智能防护规则生成，保护源站
若系统检测到攻击仍有漏过，且影响到源站可用性时，AI智能防护将进一部增强防护，将根据已学习到的具体攻击特征，定位攻击并下发对应的 AI 防护规则，当前可支持的几类AI规则如下：

• 频率限制规则，用于防护请求高频攻击
• 空请求头规则，用于防护请求头异常为空的攻击
• 特定 UA 规则，用于防护 UA 异常的攻击
• JA4 规则，用于防护 JA4 异常聚集的攻击

5. 攻击结束
当系统检测到域名流量持续20分钟不满足判定攻击的条件，则判断该域名所受攻击结束，此时将停用 “攻击时启用” 规则，并删除所有已下发的 AI 规则。